WAF全称为Web Application Firewall（网页应用防火墙）是一种专门设计用来保护web应用免受各种网络攻击的安全防护措施。它位于客户端与服务器之间，监控和过滤HTTP流量，从而拦截恶意请求、识别并防御常见的web攻击。

WAF的主要功能

1. 1. 防止SQL注入： WAF能够检测并阻止恶意SQL查询的执行，防止攻击者通过漏洞执行未授权的数据库操作。

2. 2. 防止跨站脚本攻击（XSS）： WAF通过识别并过滤恶意脚本，防止攻击者通过web页面将恶意代码注入到其他用户的浏览器中。

3. 3. 防止跨站请求伪造（CSRF）： 通过验证请求的来源，防止恶意网站发起伪造请求，欺骗用户执行不想做的操作。

4. 4. 保护web应用免受暴力破解攻击： WAF可以监控并限制暴力破解尝试，防止攻击者通过暴力猜解密码或验证码。

5. 5. 防止文件上传漏洞： WAF可检查上传文件的类型和内容，防止恶意文件被上传到服务器。

6. 6. 流量监控和阻止： 它能够检测到异常的流量模式，及时拦截大量请求或恶意bot的攻击，减轻DDoS（分布式拒绝服务）攻击的影响。

WAF的种类

WAF分为嵌入型和非嵌入型两大类：

嵌入型WAF -- 网站内置的WAF， 也叫做自定义WAF， 直接嵌入在代码中， 是开发人员为了网站的安全， 会在可能遭受攻击的地方增加了一些安全防御的代码， 比如过滤危险操作， 对潜在的威胁字符进行编码，转义等， 网站内置的WAF与业务更加契合。

非嵌入型WAF又分为这几种：硬件型WAF， 软件型WAF， 云WAF等， 以下是这几种WAF的一些介绍：

硬件型WAF：以硬件的形式部署在链路中， 支持多种部署方式， 当串联到链路中时可以拦截恶意流量，在旁路监听时，只记录攻击不拦截， 代表产品：imperva， 天清WAG等。

软件型WAF：以软件形式安装在服务器上， 可以直接检测服务器是否存在webshell， 是否有文件被创建等， 代表产品：安全够， D盾， 云锁等。

云WAF：一般以反向代理的形式工作， 通过配置NS或CNAME记录， 使得对网站的请求报文优先经过WAF主机， 经过WAF主机过滤后，被认为是无害的请求报文在发送给实际网站服务器进行请求， 可以认为是带防护功能的CDN， 代表产品：阿里云盾， 腾讯云WAF等。