WAF简介

今天继续给大家介绍渗透测试相关知识，本文主要内容是WAF简介。

免责声明：
本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！
再次强调：严禁对未授权设备进行渗透测试！

一、WAF定义

所谓WAF，即Web Application Firewall，网络应用防火墙，是通过一系列执行针对HTTP/HTTPS的安全策略来为web应用提供安全防护的产品。
有别于传统的防火墙，WAF专门针对应用层web应用而设计，能够起到防止流量攻击、SQL注入、XSS攻击等等。
常见的WAF——安全狗防护页面如下所示：

二、WAF分类

通常而言，WAF可以分为以下4类：
1、软件型WAF
本身是一个软件，部署在服务器上，检测是否存在web攻击。
2、硬件型WAF
本身是一款硬件，可以有多种部署方式，如果是串联到链路中，则可以拦截恶意流量，如果是以旁路的形式部署，则只能记录攻击但是不能拦截。硬件型WAF一般而言比软件型WAF更加昂贵，但是检测速度快，不易称为网站瓶颈。
3、云WAF
我们可以将云WAF简单理解为带有WAF功能的CDN，因为其实现机理与CDN基本相同，都是通过更改目标站点的DNS记录，使其指向云WAF，然后对站点的访问进行过滤。云WAF通常以反向代理的方式进行工作，其最大的优点是方便快捷，但是如果攻击者能够找到站点的真实IP地址，那么云WAF就存在被直接绕过的风险。
4、站点内置WAF
所谓站点内置WAF，即网站的开发者考虑到站点的安全性，将一些过滤功能写成代码，嵌入到站点内，或者直接嵌入到页面代码中，或者以一个单独的文件列出，然后被相关页面所引用。
这种WAF的灵活性非常高，因为是直接开发在页面上，因此可以针对一项非常具体的业务，乃至一个微小的功能来实现检测和规律，但是相应的其通用型就比较低了。

三、WAF常见功能

通常而言，WAF一般具有以下功能：
1、会话审计
用于截获HTTP/HTTPS或者其他满足规则的会话。
2、访问控制
可以控制客户端对WEB应用的访问。
3、网站架构
有时WAF也可以作为一个反向代理设备，本身就是网站架构的一部分，在一些云WAF场景中经常如此。
4、WEB应用加固
WAF通常能够作为WEB应用的一道防线，屏蔽WEB应用内部安全方面的缺陷和漏洞，增强WEB应用的安全性。

四、WAF防护原理

WAF之所以能够起到对网络应用进行防护的作用，主要是基于以下手段：
1、异常检测机制
拒绝不符合HTTP标准的请求。
2、白名单/黑名单
采取白名单或者黑名单的方式，对HTTP内容进行验证。
3、基于规则和基于异常的保护
定义一些安全规则或者异常状态，基于此对服务器进行安全防护。
4、状态管理
对会话进行防护。
5、信息泄露保护
防止服务器信息泄露。
6、扫描器识别
WAF对于一些扫描器会进行识别并禁止扫描，常用的扫描器识别技术有：
（1）扫描器指纹
（2）单IP+Cookie指定时间内访问触发规则次数
（3）验证码验证
WAF——安全狗对工具检测如下：

原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200