Web应用防火墙(WAF)

  • 2023-05-05
  • Author:Korims

WAF或web应用程序防火墙通过过滤和监控web应用程序和互联网之间的HTTP流量来帮助保护web应用程序。它通常保护web应用程序免受诸如跨站点伪造、跨站点脚本(XSS)、文件包含和SQL注入等攻击。WAF是一种协议第7层防御(在OSI模型中),并不是为防御所有类型的攻击而设计的。这种缓解攻击的方法通常是一套工具的一部分,这些工具共同创建了针对一系列攻击媒介的整体防御。

通过在web应用程序前面部署WAF,在web应用程序和互联网之间放置了一个屏障。代理服务器通过使用中介来保护客户端机器的身份,而WAF是一种反向代理,通过让客户端在到达服务器之前通过WAF来保护服务器不被暴露。

WAF通过一组通常称为策略的规则运行。这些策略旨在通过过滤掉恶意流量来防范应用程序中的漏洞。WAF的价值部分来自于策略修改的速度和简易性,允许对不同的攻击媒介做出更快的响应;在DDoS攻击期间,可以通过修改WAF策略来快速实施速率限制。


Blocklist和Allowlist WAFs有什么区别?


基于阻止列表(消极安全模型)运行的WAF可以抵御已知的攻击。把黑名单WAF想象成一个俱乐部保镖,奉命拒绝不符合着装要求的客人进入。相反,基于allowlist(主动安全模型)的WAF只允许已经预先批准的流量进入。这就像一个高级派对上的保镖,他或她只允许名单上的人进入。阻止列表和允许列表都有它们的优点和缺点,这就是为什么许多WAFs提供了一个混合的安全模型,它实现了这两者。


什么是基于网络、基于主机和基于云的WAFs?


WAF可以通过三种不同方式实现,每种方式都有自己的优点和缺点:

  • 基于网络晶圆通常基于硬件。由于它们安装在本地,因此可以最大限度地减少延迟,但是基于网络的WAFs是最昂贵的选择,并且还需要物理设备的存储和维护。

  • 基于主机晶片可以完全集成到应用软件中。这种解决方案比基于网络WAF更便宜,且提供了更多的可定制性。基于主机的WAF的缺点是消耗本地服务器资源、实现复杂性和维护成本。这些组件通常需要工程时间,并且可能是昂贵的。

  • 基于云的WAFs提供了一个负担得起的选项,非常容易实现;他们通常提供交钥匙安装,就像改变DNS以重定向流量一样简单。基于云的WAFs也有最小的前期成本,因为用户每月或每年为安全即服务付费。基于云的WAFs还可以提供一个持续更新的解决方案,以抵御最新的威胁,而无需用户端的任何额外工作或成本。基于云的WAF的缺点是用户把责任交给了第三方,因此WAF的一些特性对他们来说可能是一个黑匣子。(基于云WAF是云防火墙的一种类型;了解有关云防火墙的更多信息。)