Web應用程序防火墻 (WAF) 如何工作？Web應用防護系統（也稱為：網站應用級入侵防御系統。英文：Web Application Firewall，簡稱：WAF）。利用國際上公認的一種說法：Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

WAF通過過濾、監控和阻止任何流向 Web應用程序的惡意HTTP/S流量來保護您的 Web 應用程序，并防止任何未經授權的數據離開應用程序。它通過遵守一組有助于確定哪些流量是惡意流量以及哪些流量是安全流量的策略來實現這一點，正如代理服務器充當保護客戶端身份的中介一樣，WAF以類似的方式運行，但相反（稱為反向代理）充當保護Web應用程序服務器免受潛在惡意客戶端攻擊的中介。

WAF可以以軟件、設備或作為服務交付的形式出現。可以自定義策略以滿足您的 Web應用程序或一組Web應用程序的獨特需求。盡管許多WAF要求您定期更新策略以解決新漏洞，但機器學習的進步使某些WAF能夠自動更新。隨著威脅形勢的復雜性和模糊性不斷增加，這種自動化變得越來越重要。

WAF、IPS和NGFW的區別

WAF是Web應用防火墻，IPS是入侵防御系統，NGFW是下一代防火墻。

它們之間有什么區別？

Web應用防火墻（WAF）保護應用層，專門用于在應用層分析每個HTTP/S請求。它通常是用戶、會話和應用程序感知的，了解其背后的網絡應用程序以及它們提供的服務。因此，您可以將WAF視為用戶和應用程序本身之間的中介，在所有通信到達應用程序或用戶之前對其進行分析。傳統的WAF確保只能執行允許的操作（基于安全策略）。對于許多公司或組織而言，WAF是應用程序值得信賴的第一道防線，尤其是為了防止最常見的應用程序漏洞的基本列表。

目前幾種主流的應用程序漏洞列表如下：

注入攻擊

認證失敗

敏感數據泄露

XML外部實體(XXE)

損壞的訪問控制

安全配置錯誤

跨站腳本(XSS)

不安全的反序列化

……

IPS 是一種范圍更廣的安全產品。它通常是基于簽名和策略的——這意味著它可以根據簽名數據庫和既定策略檢查眾所周知的漏洞和攻擊向量。IPS建立基于數據庫和策略的標準，然后在任何流量偏離標準時發送警報。隨著新漏洞的出現，簽名和策略會隨著時間的推移而增長。通常IPS保護跨多種協議類型（如DNS、SMTP、TELNET、RDP、SSH和FTP）的流量。IPS通常運行和保護第3層和第4層。網絡層和會話層，盡管有些可能在應用層（第 7層）提供有限的保護。

下一代防火墻 (NGFW) 監控流向 Internet 的流量——跨網站、電子郵件帳戶和 SaaS。 簡而言之，它是在保護用戶（相對于Web應用程序）。NGFW將執行基于用戶的策略，并在安全策略中添加上下文，此外還會添加URL過濾、防病毒/反惡意軟件等功能，并可能添加自己的入侵防御系統 (IPS)。WAF 通常是反向代理（由服務器使用），而NGFW通常是正向代理（由瀏覽器等客戶端使用）。

部署WAF的不同方式

WAF可以通過多種方式部署——這取決于您的應用程序的部署位置、所需的服務、您希望如何管理它以及您需要的架構靈活性和性能級別。你想自己管理它，還是想外包管理？擁有基于云的選項是更好的模型還是您希望您的WAF位于本地？您希望如何部署將有助于確定哪種 WAF 適合您。

火傘云提供多種部署模式供您選擇：

01

基于云模式+完全托管即服務——如果您需要以最快、最輕松的方式在您的應用程序前獲取 WAF（尤其是當您的內部安全/IT資源有限時），這是較好的選項。

02

基于云模式+自我管理——獲得云的所有靈活性和安全策略可移植性，同時仍保留對流量管理和安全策略設置的控制。

03

基于云模式+自動配置——這是在云模式開始使用WAF的最簡單方法，以簡單、經濟高效的方式部署安全策略

04

本地高級WAF（虛擬或硬件設備）——這可以滿足最苛刻的部署要求，其中靈活性、性能和更高級的安全問題是任務關鍵策略。