什么是Web应用防火墙

Web Application Firewall （WAF）的目的是保护web应用程序免受各种应用层攻击，如跨站点脚本（XSS）、SQL注入和cookie中毒等。对应用程序的攻击是导致漏洞的主要原因，它们是访问数据的门户。使用WAF，可以阻止一系列旨在通过危及系统来提取数据的攻击。

WAF是如何工作的？

WAF通过过滤、监视和阻止任何恶意HTTP/S流量传输到web应用程序来保护您的web应用程序，并防止任何未经授权的数据离开应用程序。它通过遵守一组策略来实现这一点，这些策略有助于确定哪些流量是恶意的，哪些流量是安全的。正如代理服务器充当保护客户端身份的中介一样，WAF以类似的方式运行，但反过来称为反向代理，充当保护web应用服务器免受潜在恶意客户端攻击的中介。

WAF可以以软件、设备或作为服务提供的形式出现。可以自定义策略以满足web应用程序或一组web应用程序的独特需求。尽管许多WAF要求定期更新策略以解决新的漏洞，但机器学习的进步使一些WAF能够自动更新。随着威胁形势的复杂性和模糊性不断增加，这种自动化变得越来越重要。

WAF的工作特点

• 根据OSI模型，WAF是协议第七层防御。
• 当WAF部署在web应用程序前面时，会在web应用和Internet之间创建一个屏蔽。
• WAF的优点是它独立于应用程序运行，但它可以不断地适应应用程序行为的变化。
• 客户机在到达服务器之前经过WAF，以保护服务器免受暴露。
• WAF可以设置各种级别的检查，通常在从低到高的范围内，这使得WAF能够提供更好的安全级别。

Web应用程序防火墙的类型

1. 基于网络的WAF通常基于硬件。由于本地安装，它们可以减少延迟。基于网络的WAF是最昂贵的，并且还需要存储和维护物理设备。
2. 基于主机的WAF可以完全集成到应用程序的软件中。它们作为web服务器的模块存在。与用于小型web应用程序的基于硬件的WAF相比，这是一个更便宜的解决方案。基于主机的WAF的缺点是消耗本地服务器资源，因此性能可能会下降。
3. 基于云的WAF成本低，管理的资源更少。当一个人不想限制自己的性能能力时，基于云的解决方案是完美的选择。服务提供商可以提供无限的硬件池，但在一段时间后，服务费用可能会增加。

web应用程序防火墙（WAF）、入侵防御系统（IPS）和下一代防火墙（NGFW）之间的区别是什么？

IPS是一种更广泛关注的安全产品。它通常是基于签名和策略的，这意味着它可以基于签名数据库和已建立的策略检查已知漏洞和攻击向量。IPS根据数据库和策略建立标准，然后在任何流量偏离标准时发送警报。随着新漏洞的发现，签名和策略会随着时间的推移而增长。一般来说，IPS通过一系列协议类型（如DNS、SMTP、TELNET、RDP、SSH和FTP）保护流量。IPS通常操作并保护第3层和第4层-网络和会话层，在应用层（第7层）提供有限的保护。

WAF保护应用层，并专门设计用于分析应用程序层的每个HTTP/S请求。它通常是用户、会话和应用程序感知的，了解其背后的web应用程序及其提供的服务。因此，您可以将WAF视为用户和应用程序之间的中介，在它们到达应用程序或用户之前分析所有通信。传统WAF确保只能执行允许的操作（基于安全策略）。对于许多组织来说，WAF是应用程序的可靠的第一道防线，特别是为了防止OWASP Top 10（最常见的应用程序漏洞的基本列表）。例如：

• 注入攻击
• 中间人攻击
• 零日攻击
• 身份验证失败
• 敏感数据暴露
• XML外部实体（XXE）
• 中断的访问控制
• 安全错误配置
• 跨站点脚本（XSS）
• 不安全的反序列化

下一代防火墙（NGFW）监控通过网站、电子邮件帐户和SaaS进入互联网的流量。简单地说，它是在保护用户（而不是web应用程序）。NGFW将执行基于用户的策略，并在安全策略中添加上下文，此外还将添加URL过滤、反病毒/反恶意软件等功能，以及可能的自己的入侵防御系统（IPS）。虽然WAF通常是反向代理（由服务器使用），但NGFW通常是正向代理（由浏览器等客户端使用）。