什么是 WAF？| Web 应用防火墙解读

什么是 Web 应用防火墙 (WAF)？

Web 应用防火墙 (WAF) 会过滤和监测 Web 应用与互联网之间的 HTTP 流量，以此来保护 Web 应用安全。它通常会保护 Web 应用免受各种形式的攻击，例如cross-site forgery、Cross-Site Scripting (XSS)、文件包含以及 SQL 注入等。

WAF 属于协议第 7 层防御策略（OSI 模型中），并不能抵御所有类型的攻击。此攻击缓解方法通常隶属于一套工具，整套工具共同针对一系列攻击手段建立整体防御措施。

通过在 Web 应用前端部署 WAF，可在 Web 应用与互联网之间形成一道屏障。虽然代理服务器通过中介保护客户机的身份，但 WAF 是一种反向代理，引导客户端通过 WAF 到达服务器，从而防止暴露服务器。

WAF 通过一组通常称为“策略”的规则进行运作。这些策略旨在过滤恶意流量，防止受到应用漏洞的侵害。WAF 的部分价值在于可以快速简便地修改策略，因而可以更迅速地响应不同的攻击手段。在 DDoS 攻击期间，可通过修改 WAF 策略快速实施速率限制。

黑名单与白名单 WAF 之间有什么区别？

基于黑名单（消极安全模型）运行的 WAF 可防范已知攻击。您可以将黑名单 WAF 想象为俱乐部保镖按指示拒绝接待不符合着装要求的客人。相反，基于白名单（积极安全模型）的 WAF 仅允许接受预先批准的流量。类似于奢华派对保镖，只接待出席名单列出的客人。无论黑名单还是白名单，二者都有各自的优缺点，因此很多 WAF 提供混合安全模型，综合实施两种方法。

什么是基于网络、基于主机和基于云的 WAF？

WAF 可以通过三种不同的方式来实施，每种方式都有各自的优缺点：

• 基于网络的 WAF 通常基于硬件。由于采用本地安装模式，因而可以最大限度地缩短延迟，但基于网络的 WAF 费用最昂贵，而且还要安装和维护物理设备。
• 基于主机的 WAF 可完全集成至应用软件。这种解决方案的成本低于基于网络的 WAF，而且还能提供更多定制功能。基于主机的 WAF 的缺点在于，占用本地服务器资源，实施起来复杂，而且还会产生维护成本。这些组件通常需要预留维护时间，可能成本较高。
• 基于云的 WAF 是一种极易实施的经济型方案；通常提供一站式安装服务，就像更改 DNS 来重定向流量一样简单。另外，基于云的 WAF 的前期成本最低，因为用户按月或按年支付安全即服务费用。基于云的 WAF 还可以提供持续更新解决方案以抵御最新威胁，用户无需额外开展工作或投入成本。基于云的 WAF 的缺点在于，用户将责任转嫁给第三方，因此对他们而言，WAF 的某些功能可能成为黑盒。（基于云的 WAF 是一种云防火墙类型；了解有关云防火墙的更多信息。）

了解全球连通云如何让公司使用基于云的 WAF 解决方案来保护其网站安全。

常见问题解答

什么是 Web 应用防火墙 (WAF)？

WAF 通过过滤和监控 Web 应用与互联网之间的 HTTP 流量来帮助保护 Web 应用。它可保护应用层，保护服务器免受 SQL 注入、Cross-site scripting (XSS) 和跨站点伪造等常见威胁。

WAF 如何保护 Web 应用？

通过部署 WAF，可在应用与互联网之间形成一道屏障。与保护客户端的标准代理不同，WAF 是一种反向代理，它要求所有客户端在到达应用之前都通过它来保护服务器。

阻止列表与允许列表 WAF 模型之间有什么区别？

阻止列表（负向安全模型）会依据已知的攻击特征拒绝相应流量。相反，允许列表（正向安全模型）仅允许预先批准的流量。许多 WAF 混合使用这些模型。

WAF 策略如何在活动攻击期间使用？

WAF 通过称为策略的规则集运行，可以过滤掉恶意流量。由于这些策略可以快速轻松地修改，因此可以快速响应新的攻击手段，例如在 DDoS 攻击期间实施速率限制或阻止新的漏洞利用。

实施 WAF 的三种主要方式是什么？

WAF 可以通过以下方式实施： 基于网络的 WAF：通常基于硬件并在本地安装，以最大限度地减少延迟。基于主机的 WAF：集成到应用软件中，提供更多定制化，但消耗本地服务器资源。基于云的 WAF： 一种经济实惠且易于实施的安全即服务选项，以最小的前期成本提供针对新威胁的持续更新。

为什么企业会选择基于云的 WAF，而不是其他选项？

基于云的 WAF 之所以备受青睐，是因为其支持开箱即用式部署，且无需额外投入人力或成本，即可获得针对最新威胁的防护能力。这个过程通常就像 DNS 更改一样简单。虽然基于云的 WAF 客户将部分责任交给第三方，但他们可以从不断更新以阻止新攻击的解决方案中受益，而无需付出任何努力。