一、概念
WAF,全称为:Web Application Firewall,即 Web 应用防火墙。
维基百科是这么解释的:Web应用程序防火墙过滤,监视和阻止与Web应用程序之间的HTTP流量。
二、与一般防火墙的区别
WAF与常规防火墙的区别在于,WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的安全门。通过检查HTTP流量,它可以防止源自Web应用程序安全漏洞的攻击,例如SQL注入、跨站点脚本,文件包含和安全性错误配置。
WAF与网络防火墙的区别在于:
1、网络防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。只是对端口做限制,对TCP协议做封堵。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。
2、Web应用防火墙能在应用层理解分析HTTP会话,因此能有效的防止各类应用层攻击,同时他向下兼容,具备网络防火墙的功能。
三、WAF的部署模式
WAF一般是部署在防火墙(特别是高防DDOS设备)后面。因为WAF处理的是文本,是可变的,防火墙处理的是格式化消息,内容基本上都是固定的或者是索引方式,如果像防火墙一样放在网络入口处的话,读于DDOS攻击来说,它是很容易沦陷的。
四、WAF的工作模式
1、由于WAF一般和业务系统是串联的,所以需要部署在业务系统前面。
2、当WAF有新功能或者有新策略发布,是不可以立马把新功能或新策略对现有站点进行防护,需要一段时间来进行观察,看功能是否可用或策略的命中率,漏判率和误判率。(刚来时为站点配置策略的时候一定要配置观察模式!!!!!!)
五、WAF不能做什么
1、WAF不能过滤其他协议流量,如FTP、PoP3协议
2、WAF不能实现传统防护墙功能,如地址映射
3、WAF不能防止网络层的DDoS攻击
4、防病毒
