Web应用程序防火墙 (WAF) 如何工作？

Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称：WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

WAF通过过滤、监控和阻止任何流向 Web应用程序的恶意HTTP/S流量来保护您的 Web 应用程序，并防止任何未经授权的数据离开应用程序。它通过遵守一组有助于确定哪些流量是恶意流量以及哪些流量是安全流量的策略来实现这一点，正如代理服务器充当保护客户端身份的中介一样，WAF以类似的方式运行，但相反（称为反向代理）充当保护Web应用程序服务器免受潜在恶意客户端攻击的中介。

WAF可以以软件、设备或作为服务交付的形式出现。可以自定义策略以满足您的 Web应用程序或一组Web应用程序的独特需求。尽管许多WAF要求您定期更新策略以解决新漏洞，但机器学习的进步使某些WAF能够自动更新。随着威胁形势的复杂性和模糊性不断增加，这种自动化变得越来越重要。

WAF、IPS和NGFW的区别

WAF是Web应用防火墙，IPS是入侵防御系统，NGFW是下一代防火墙。

它们之间有什么区别？

Web应用防火墙（WAF）保护应用层，专门用于在应用层分析每个HTTP/S请求。它通常是用户、会话和应用程序感知的，了解其背后的网络应用程序以及它们提供的服务。因此，您可以将WAF视为用户和应用程序本身之间的中介，在所有通信到达应用程序或用户之前对其进行分析。传统的WAF确保只能执行允许的操作（基于安全策略）。对于许多公司或组织而言，WAF是应用程序值得信赖的第一道防线，尤其是为了防止最常见的应用程序漏洞的基本列表。

目前几种主流的应用程序漏洞列表如下：

注入攻击

认证失败

敏感数据泄露

XML外部实体(XXE)

损坏的访问控制

安全配置错误

跨站脚本(XSS)

不安全的反序列化

……

IPS 是一种范围更广的安全产品。它通常是基于签名和策略的——这意味着它可以根据签名数据库和既定策略检查众所周知的漏洞和攻击向量。IPS建立基于数据库和策略的标准，然后在任何流量偏离标准时发送警报。随着新漏洞的出现，签名和策略会随着时间的推移而增长。通常IPS保护跨多种协议类型（如DNS、SMTP、TELNET、RDP、SSH和FTP）的流量。IPS通常运行和保护第3层和第4层。网络层和会话层，尽管有些可能在应用层（第 7层）提供有限的保护。

下一代防火墙 (NGFW) 监控流向 Internet 的流量——跨网站、电子邮件帐户和 SaaS。 简而言之，它是在保护用户（相对于Web应用程序）。NGFW将执行基于用户的策略，并在安全策略中添加上下文，此外还会添加URL过滤、防病毒/反恶意软件等功能，并可能添加自己的入侵防御系统 (IPS)。WAF 通常是反向代理（由服务器使用），而NGFW通常是正向代理（由浏览器等客户端使用）。

部署WAF的不同方式

WAF可以通过多种方式部署——这取决于您的应用程序的部署位置、所需的服务、您希望如何管理它以及您需要的架构灵活性和性能级别。你想自己管理它，还是想外包管理？拥有基于云的选项是更好的模型还是您希望您的WAF位于本地？您希望如何部署将有助于确定哪种 WAF 适合您。

火伞云提供多种部署模式供您选择：

01基于云模式+完全托管即服务——如果您需要以最快、最轻松的方式在您的应用程序前获取 WAF（尤其是当您的内部安全/IT资源有限时），这是较好的选项。

02基于云模式+自我管理——获得云的所有灵活性和安全策略可移植性，同时仍保留对流量管理和安全策略设置的控制。

03基于云模式+自动配置——这是在云模式开始使用WAF的最简单方法，以简单、经济高效的方式部署安全策略

04本地高级WAF（虚拟或硬件设备）——这可以满足最苛刻的部署要求，其中灵活性、性能和更高级的安全问题是任务关键策略。