Web應(yīng)用程序防火墻 (WAF) 如何工作？Web應(yīng)用防護(hù)系統(tǒng)（也稱為：網(wǎng)站應(yīng)用級入侵防御系統(tǒng)。英文：Web Application Firewall，簡稱：WAF）。利用國際上公認(rèn)的一種說法：Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。

WAF通過過濾、監(jiān)控和阻止任何流向 Web應(yīng)用程序的惡意HTTP/S流量來保護(hù)您的 Web 應(yīng)用程序，并防止任何未經(jīng)授權(quán)的數(shù)據(jù)離開應(yīng)用程序。它通過遵守一組有助于確定哪些流量是惡意流量以及哪些流量是安全流量的策略來實現(xiàn)這一點，正如代理服務(wù)器充當(dāng)保護(hù)客戶端身份的中介一樣，WAF以類似的方式運行，但相反（稱為反向代理）充當(dāng)保護(hù)Web應(yīng)用程序服務(wù)器免受潛在惡意客戶端攻擊的中介。

WAF可以以軟件、設(shè)備或作為服務(wù)交付的形式出現(xiàn)。可以自定義策略以滿足您的 Web應(yīng)用程序或一組Web應(yīng)用程序的獨特需求。盡管許多WAF要求您定期更新策略以解決新漏洞，但機器學(xué)習(xí)的進(jìn)步使某些WAF能夠自動更新。隨著威脅形勢的復(fù)雜性和模糊性不斷增加，這種自動化變得越來越重要。

WAF、IPS和NGFW的區(qū)別

WAF是Web應(yīng)用防火墻，IPS是入侵防御系統(tǒng)，NGFW是下一代防火墻。

它們之間有什么區(qū)別？

Web應(yīng)用防火墻（WAF）保護(hù)應(yīng)用層，專門用于在應(yīng)用層分析每個HTTP/S請求。它通常是用戶、會話和應(yīng)用程序感知的，了解其背后的網(wǎng)絡(luò)應(yīng)用程序以及它們提供的服務(wù)。因此，您可以將WAF視為用戶和應(yīng)用程序本身之間的中介，在所有通信到達(dá)應(yīng)用程序或用戶之前對其進(jìn)行分析。傳統(tǒng)的WAF確保只能執(zhí)行允許的操作（基于安全策略）。對于許多公司或組織而言，WAF是應(yīng)用程序值得信賴的第一道防線，尤其是為了防止最常見的應(yīng)用程序漏洞的基本列表。

目前幾種主流的應(yīng)用程序漏洞列表如下：

注入攻擊

認(rèn)證失敗

敏感數(shù)據(jù)泄露

XML外部實體(XXE)

損壞的訪問控制

安全配置錯誤

跨站腳本(XSS)

不安全的反序列化

……

IPS 是一種范圍更廣的安全產(chǎn)品。它通常是基于簽名和策略的——這意味著它可以根據(jù)簽名數(shù)據(jù)庫和既定策略檢查眾所周知的漏洞和攻擊向量。IPS建立基于數(shù)據(jù)庫和策略的標(biāo)準(zhǔn)，然后在任何流量偏離標(biāo)準(zhǔn)時發(fā)送警報。隨著新漏洞的出現(xiàn)，簽名和策略會隨著時間的推移而增長。通常IPS保護(hù)跨多種協(xié)議類型（如DNS、SMTP、TELNET、RDP、SSH和FTP）的流量。IPS通常運行和保護(hù)第3層和第4層。網(wǎng)絡(luò)層和會話層，盡管有些可能在應(yīng)用層（第 7層）提供有限的保護(hù)。

下一代防火墻 (NGFW) 監(jiān)控流向 Internet 的流量——跨網(wǎng)站、電子郵件帳戶和 SaaS。 簡而言之，它是在保護(hù)用戶（相對于Web應(yīng)用程序）。NGFW將執(zhí)行基于用戶的策略，并在安全策略中添加上下文，此外還會添加URL過濾、防病毒/反惡意軟件等功能，并可能添加自己的入侵防御系統(tǒng) (IPS)。WAF 通常是反向代理（由服務(wù)器使用），而NGFW通常是正向代理（由瀏覽器等客戶端使用）。

部署WAF的不同方式

WAF可以通過多種方式部署——這取決于您的應(yīng)用程序的部署位置、所需的服務(wù)、您希望如何管理它以及您需要的架構(gòu)靈活性和性能級別。你想自己管理它，還是想外包管理？擁有基于云的選項是更好的模型還是您希望您的WAF位于本地？您希望如何部署將有助于確定哪種 WAF 適合您。

火傘云提供多種部署模式供您選擇：

01

基于云模式+完全托管即服務(wù)——如果您需要以最快、最輕松的方式在您的應(yīng)用程序前獲取 WAF（尤其是當(dāng)您的內(nèi)部安全/IT資源有限時），這是較好的選項。

02

基于云模式+自我管理——獲得云的所有靈活性和安全策略可移植性，同時仍保留對流量管理和安全策略設(shè)置的控制。

03

基于云模式+自動配置——這是在云模式開始使用WAF的最簡單方法，以簡單、經(jīng)濟高效的方式部署安全策略

04

本地高級WAF（虛擬或硬件設(shè)備）——這可以滿足最苛刻的部署要求，其中靈活性、性能和更高級的安全問題是任務(wù)關(guān)鍵策略。