什么是 WAF?| Web 应用防火墙解析

WAF 在 Web 应用与互联网之间创建防火墙;此类防火墙有助于缓解很多常见攻击。

学习目标

阅读本文后,您将能够:

  • 定义 Web 应用防火墙
  • 解释黑名单与白名单 waf 之间的区别
  • 了解基于网络、基于主机和基于云的 waf 的优缺点

相关内容


想要继续学习吗?

订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!

参阅 Cloudflare 的隐私政策,了解我们如何收集和处理您的个人数据。

复制文章链接

什么是 Web 应用防火墙 (WAF)?

Web 应用防火墙 (WAF) 会过滤和监测 Web 应用与互联网之间的 HTTP 流量,以此来保护 Web 应用安全。它通常会保护 Web 应用免受各种形式的攻击,例如cross-site forgeryCross-site scripting (XSS)、文件包含以及 SQL 注入等。

WAF 属于协议第 7 层防御策略(OSI 模型中),并不能抵御所有类型的攻击。此攻击缓解方法通常隶属于一套工具,整套工具共同针对一系列攻击手段建立整体防御措施。

通过在 Web 应用前端部署 WAF,可在 Web 应用与互联网之间形成一道屏障。虽然代理服务器通过中介保护客户机的身份,但 WAF 是一种反向代理,引导客户端通过 WAF 到达服务器,从而防止暴露服务器。

WAF 通过一组通常称为“策略”的规则进行运作。这些策略在过滤恶意流量,防止受到应用漏洞的侵害。WAF 的部分价值在于可以快速简便地修改策略,因而可以更迅速地响应不同的攻击手段。在 DDoS 攻击期间,可通过修改 WAF 策略快速实施速率限制。

DDOS WAF 工作原理
资料单
Cloudflare WAF 如何对抗Web 攻击
报告
阅读 2023 年第四季度 DDoS 威胁形势报告

黑名单与白名单 WAF 之间有什么区别?

基于黑名单(消极安全模型)运行的 WAF 可防范已知攻击。您可以将黑名单 WAF 想象为俱乐部保镖按指示拒绝接待不符合着装要求的客人。相反,基于白名单(积极安全模型)的 WAF 仅允许接受预先批准的流量。类似于奢华派对保镖,只接待出席名单列出的客人。无论黑名单还是白名单,二者都有各自的优缺点,因此很多 WAF 提供混合安全模型,综合实施两种方法。

WAF 保护
抵御“十大”攻击技术

什么是基于网络、基于主机和基于云的 WAF?

WAF 可以通过三种不同的方式来实施,每种方式都有各自的优缺点:

  • 基于网络的 WAF 通常基于硬件。由于采用本地安装模式,因而可以最大限度地缩短延迟,但基于网络的 WAF 费用最昂贵,而且还要安装和维护物理设备。
  • 基于主机的 WAF 可完全集成至应用软件。这种解决方案的成本低于基于网络的 WAF,而且还能提供更多定制功能。基于主机的 WAF 的缺点在于,占用本地服务器资源,实施起来复杂,而且还会产生维护成本。这些组件通常需要预留维护时间,可能成本较高。
  • 基于的 WAF 是一种极易实施的经济型方案;通常提供一站式安装服务,就像更改 DNS 来重定向流量一样简单。另外,基于云的 WAF 的前期成本最低,因为用户按月或按年支付安全即服务费用。基于云的 WAF 还可以提供持续更新解决方案以抵御最新威胁,用户无需额外开展工作或投入成本。基于云的 WAF 的缺点在于,用户将责任转嫁给第三方,因此对他们而言,WAF 的某些功能可能成为黑盒。(基于云的 WAF 是一种云防火墙类型;了解有关云防火墙的更多信息。)

了解全球连通云如何让公司使用基于云的 WAF 解决方案来保护其网站安全。