1. 什么是waf

web应用防火墙，一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护，避免各类针对网站的攻击带来的危害。（核心其实也是基于规则的防御）| 任何工具（Awvs、IPS、IDS）其实都是基于规则进行匹配，最多加个爬虫功能

2. waf功能

        网马|木马主动防御及查杀：网页木马和网页挂马扫描工具采用特征码+启发式引擎的查杀算法，WEB木马检出率大于90%

        网站漏洞防御功能：可拦截GET、POST、COOKIES等方式的SQL注入，可对GET、POST、COOKIES分别定义特征码，以及可拦截XSS注入等行为。

        网站流量实时监控：能够实时监测到每个网站的进出流量和总流量，以及每个应用程序池及网站的CPU占用情况

        危险组件防护功能：全面拦截恶意代码对组件的调用权限，拦截IIS执行恶意程序，保护网站安全

        .Net安全保护模块：快捷设置.Net安全模式，禁止.Net执行系统敏感函数，保障网站安全

        双层防盗链链接模式：可以针对不同站点设置防盗链的过滤, 防止图片、桌面、软件、音乐、电影被人引用。如果发现请求者是盗用网站链接, 则自动重定向到错误处理页面

        网站特定资源防下载：支持对doc、mdb、mdf、myd等特定资源的防下载保护，加入要保护的敏感资料的路径，即可防止敏感资料被下载

        CC攻击防护：自主研发的独特抗攻击算法，高效的主动防御系统可有效防御CC攻击、流量攻击。

        IP黑白名单：全IP黑白名单功能允许用户设置个性化的IP信任列表，直接屏蔽或者允许指定IP访问网站。同时，增加iP临时黑名单功能，以及实现了针对某个功能的iP白名单功能。同时，爬虫白名单提供爬虫信任机制，在出现误拦截情况下，允许用户自定义爬虫信任

3. waf的工作原理

        WAF(Web Application Firewall) 可以用来屏蔽常见的网站漏洞攻击，如SQL注入，XML注入、XSS等。WAF针对的是应用层而非网络层的入侵，从技术角度应该称之为Web IPS。

WAF的主要难点是对入侵的检测能力，尤其是对Web服务入侵的检测，WAF最大的挑战是识别率。对于已知的攻击方式，可以谈识别率，但是对于未知的攻击手段，WAF是检测不到的。

基于规则库匹配的WAF

目前市面上大多数的WAF都是基于规则的WAF。即WAF对接数据收到的包进行正则匹配过滤，如果正则匹配到与现有漏洞知识库的攻击代码相同，则认为这个恶意代码，从而对于进行阻断。所以，对于基于规则匹配的WAF，需要每天都及时更新最新的漏洞库。

对于这种WAF，它的工作过程是这样的：解析HTTP请求——>匹配规则——>防御动作——>记录日志

        具体实现如下：

        1.  解析http请求：协议解析模块

        2.  匹配规则：规则检测模块，匹配规则库

        3.  防御动作：return 403 或者跳转到自定义界面，或者不返回任何数据，或者拉黑IP

        4.  日志记录：记录到elk中

4. waf分类

硬件waf：绿盟、安恒、启明、知道创宇等（弊端就是访问速度变慢）

软件waf：安全狗、云锁、中间件自带的waf模块（安装在服务器上，访问速度不变）

云waf：阿里云、安全狗、创宇等（弊端：通过cname值访问，如果知道真实ip，可以直接绕过waf）

5. wafw00f工具嗅探waf

• 简介：

        这个工具可以通过发送正常以及不正常甚至是包含恶意代码的HTTP请求，来探测网站是否存在防火墙，并识别该防火墙的厂商及类型。

• 检测原理：

发送正常的 HTTP请求并分析响应；这确定了许多WAF解决方案。如果不成功，则发送多个（可能是恶意的）HTTP请求，触发WAF的拦截来获取其返回的特征进而判断所使用的WAF类型。如果还是不成功，则分析先前回复的响应，并使用另一种简单算法来猜测WAF或安全解决方案是否正在积极响应我们的攻击。

• 常用指令

        查看帮助：Wafw00f -h

        查看支持检测的waf类型：wafw00f -l

        测试单个网站或IP：wafw00f 网址（ip)

        匹配所有签名特征的wafs：wafw00f 网址（ip) -a