什么是 Web 应用程序防火墙 (WAF)

WAF 是一种网络安全系统，它通过确保 Web 服务器只接收合法流量来帮助保护 Web 应用程序免受各种类型的攻击。

防火墙是监视和控制进出网络流量的系统。它在你的内部网络和公共互联网之间起着屏障的作用。

Web 应用程序防火墙是一种特定类型的防火墙，专注于进出 Web 应用程序的流量。标准防火墙充当第一级安全，但今天的网站和网络服务需要更高的安全性。这就是 WAF 提供专门功能并阻止专门针对应用程序本身的攻击的地方。

正在寻找 WAF 解决方案？查看 CDNetwork 的Application Shield(DDoS防护及Web应用防火墙)。

应用防火墙 (WAF) 如何工作？

WAF 的工作原理是过滤、监控和阻止 Web 应用程序与 Internet 之间的可疑 HTTP/s 流量。

长久以来，传统防火墙一直是一种基本的网络安全策略。它们部署在网络边缘，在 OSI 模型的第3层到第4层中运行。它们的作用仅限于检查IP和TCP/UDP协议上的数据包，并根据IP地址、协议类型和端口号过滤流量。

另一方面，WAF 在 OSI 模型的第 7 层 (L7) 运行，并且可以理解 Web 应用程序协议。它们对于分析进出 Web 应用程序的流量以及防止可能无法通过传统网络防火墙检测到的攻击至关重要，并且可以用作积极或消极安全模型的一部分。

部署 WAF 时，它充当应用程序和 Internet 之间的反向代理屏蔽。代理服务器是保护客户端计算机的中介。另一方面，反向代理确保客户端在到达服务器之前通过它。至关重要的是，WAF 可用于保护放置在其前面的多个应用程序。

WAF 使用一组称为策略的规则来过滤利用应用程序漏洞（包括 OWASP Top 10）的恶意流量。这些安全策略通常基于已知的 Web 攻击签名，包括 HTTP 标头、HTTP 请求正文和 HTTP 响应等扫描点。还可以指定规则集来检测 URL 或文件扩展名中的模式，限制 URI、标头和正文长度，检测 SQL/XSS 注入、零日攻击，甚至基于签名检测和行为的机器人程序

使用 WAF 的主要好处是可以快速轻松地修改和实施这些策略。一些 WAF 提供商还提供以下功能负载均衡、SSL 卸载和这些策略修改的智能自动化，使用机器学习来优化您的云安全。这使得适应和响应不同的攻击向量以及分布式拒绝服务 (DDoS) 保护变得容易。

仅靠 WAF 无法抵御所有攻击。但它可以增强web应用程序的安全性，以抵御以下常见攻击：

跨站伪造

这些攻击会迫使 Web 应用程序的经过身份验证的用户采取危及应用程序安全性的操作。通常，攻击者通过电子邮件向用户发送链接来诱骗用户单击链接。完成用户身份验证和登录后，可以强制用户执行转账或更改其个人资料详细信息和电子邮件地址等请求。如果攻击针对管理员帐户并成功，则可能会危及整个 Web 应用程序。

跨站脚本

跨站点脚本攻击是攻击者将恶意软件注入客户端浏览器以窃取包括会话 cookie 在内的数据或编辑内容以显示虚假信息的攻击。当包含 JavaScript、PHP 和 .NET 脚本的动态网站被注入恶意代码时，通常会发生这种情况。当用户加载网页时，就会执行攻击者的恶意脚本。例如，用户的 cookie 可能会发送给攻击者，攻击者可以使用它进行模拟。

SQL注入

在这类攻击中，攻击者会尝试将恶意 SQL 命令注入具有用户输入数据字段（例如联系表单）的网站和应用程序。 注入的代码可以未经授权访问数据库并运行命令来提取或修改数据库中包含的私密信息。

需要 DDoS 保护和高性能安全解决方案？ CD网络的Flood Shield(DDoS云清洗) 非常适合缓解 DDoS 攻击。

WAF 有哪些不同类型？

WAF 通过利用威胁情报和阻止满足某些预设标准的攻击同时允许批准的流量来保护 Web 应用程序。它们有助于防止跨站点伪造、跨站点脚本、SQL 注入和文件包含，攻击者在这些情况下试图获得对应用程序的未授权访问以窃取敏感数据或破坏应用程序本身。

根据实现方式的不同，WAF 可以是三种类型之一。

基于网络的WAF

这通常是基于硬件的 WAF，并在本地安装。这意味着它靠近服务器放置，因此更容易访问。与基于硬件的部署一样，它们有助于最大限度地减少延迟，但存储和维护成本可能很高。

基于主机的 WAF

基于主机的 WAF 是完全集成到应用程序软件中的 WAF。 它作为应用服务器内部的一个模块存在。 这种类型的 WAF 比基于网络的 WAF 更便宜，而且更易于定制。 但另一面，它们可能会过度消耗本地服务器资源并影响应用程序的性能。 它们的实施和维护也很复杂。

基于云的 WAF

基于云的 WAF 更实惠，需要管理的本地资源更少。它们更易于实施，并且通常由供应商作为 SaaS 交付。提供一站式安装，就像更改 DNS 以重定向网络流量一样简单。由于采用云服务模型，它们的前期成本也极低，并且可以不断更新以跟上威胁形势中的最新攻击。 CDNetworks 提供基于云的 WAF，它与我们的全球数据中心和内容分发网络 (CDN) 集成，可实时防止 Web 应用层攻击。