1 基本概念

1.1 WAF

Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称：WAF）。一般作为网关设备，防护Web、Webmail服务器等。

1.2 本质

WAF的本质是Web应用防火墙，是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

1.3 WAF工作原理

WAF部署在web应用程序前面，在用户请求到达web服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。

WAF的工作原理通常包括以下几个步骤：

流量识别：WAF识别来自客户端的请求，并对请求进行分析。WAF可以检查请求头、请求体、
Cookie、URL参数等信息，并识别其中的攻击。

攻击检测：WAF对识别的请求进行攻击检测。WAF可以使用多种技术来检测攻击，例如正则表达式、特征匹配、行为分析等。WAF可以检测多种攻击，包括SQL注入、XSS、CSRF、命令注入等。

攻击响应：WAF根据检测结果采取相应的措施，例如拦截请求、阻止访问、记录事件等。WAF可以使用多种技术来响应攻击，例如重定向、报错、拦截等。

日志记录：WAF记录所有请求和响应的详细信息，包括请求头、请求体、响应头、响应体等。WAF可以将日志发送给中央日志管理系统，以便进行分析和审计。

2 与传统防火墙的区别

主要区别：WAF的出现解决了传统防火墙无法解决的针对应用层的攻击问题

1、WAF会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求，从而减少攻击的影响范围；

2、WAF增强了输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为，减小Web服务器被攻击的可能；

3、WAF可以对用户访问行为进行监测，为Web应用提供基于各类安全规则与异常事件的保护；

4、WAF还有一些安全增强的功能，用以解决WEB程序员过分信任输入数据带来的问题，如隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护等。

3 web应用防护系统主要解决的问题

3.1 防恶意扫描

防止被保护业务系统的漏洞、弱点被攻击者发现。

3.2 防注入&跨站攻击

阻拦利用被保护系统的漏洞发起的攻击行为。

3.3 上传&下载防护

阻拦针对被保护系统的非法上传和下载行为。

3.4 内部威胁防范

对内部业务访问进行访问控制和业务审计，防范来自内部的威胁。

3.5 防盗链

对HTTP请求的来源进行检查，并可以自定义可信源至Cookies，以此防止用户服务器访问链接被恶意盗取后，从非法的位置发送请求，获取隐私信息。

4 WAF分类

1、硬件WAF
独立的设备，与网络交换机、路由器等设备集成，拦截来自外部网络的流量。
2、软件WAF
软件WAF通常是一种安装在服务器上的应用程序，可以通过修改Web服务器或代理服务器的配置文件实现。软件WAF可以与多种Web服务器和应用程序框架集成，包括Apache、Nginx、IIS等。软件WAF通常具有灵活性和易于配置的优点，适用于多种Web应用程序。
3、云WAF
云WAF通常是一种基于云的服务，可以将Web应用程序的流量转发到云端进行处理。云WAF可以提供全球分布的节点，从而提高Web应用程序的可用性和性能。云WAF通常具有弹性扩展、自动升级等优点，适用于高可用性和高性能的Web应用程序。

5 致谢

本文部分内容参考CSDN博主「Web Security Loop」的原创文章，请大家对博主支持。原文链接：https://blog.csdn.net/weixin_44716769/article/details/129160057