什么是Web应用程序防火墙（WAF）？

保护在线资产至关重要。Web应用防火墙作为一种重要的防御机制，能够为网站和Web应用程序提供安全保障。这种专门的安全层可以过滤Web应用程序与互联网之间的流量，从而在恶意请求造成危害之前将其阻止。本文探讨了什么是Web应用防火墙、其工作原理，以及为什么它对于现代Web应用程序的安全性来说是如此不可或缺。

主要要点/核心内容

本文主要讨论了以下几个主题：

• Web应用程序防火墙（WAF）是一种安全解决方案，其作用是过滤发生在应用程序层（OSI模型的第7层）的HTTP流量。
• WAF可以以多种方式来部署，主要包括基于网络的解决方案、基于主机的解决方案以及基于云的解决方案。
• WAF能够保护应用程序免受常见的网络攻击，比如SQL注入、跨站脚本攻击，以及某些类型的DDoS攻击。
• WAF能够执行安全策略，检测来自外部的威胁，并利用允许列表（积极的安全模型）或阻止列表（消极的安全模型）来管理访问权限。
• 本地和基于云的WAF在管理、可扩展性和成本方面各有优缺点。
• WAF的常见应用包括：保护网站免受攻击、防止服务中断、帮助满足各种合规标准（如PCI DSS），以及为漏洞提供虚拟修复措施。
• WAF的关键特性包括：能够根据规则来允许或阻止访问；能够追踪潜在的威胁；以及专注于保护基于HTTP/S的应用程序和网络服务器。

在网络安全领域，什么是Web应用程序防火墙（WAF）呢？

Web应用防火墙是一种网络安全设备，它能够为Web应用程序与外部互联网之间建立一道安全屏障。WAF系统会监控和过滤HTTP流量，从而有效应对各种攻击，同时还可以实施相应的保护策略，以决定是否允许或阻止对Web应用程序的访问。

WAF解决方案是一种入侵预防系统，能够保护应用程序层免受SQL注入和跨站脚本攻击等攻击。这些漏洞往往是导致数据泄露的常见途径。以应用程序为目标的防火墙能够有效减少潜在的威胁，从而大大降低遭遇严重威胁的可能性。

为什么 Web 防火墙非常重要呢？

Web应用防火墙在网络安全中发挥着重要作用，它能够过滤HTTP流量，从而保护应用程序免受SQL注入、跨站脚本攻击以及API漏洞等常见威胁的侵害。此外，Web应用防火墙还能帮助防止数据泄露、拒绝服务攻击、恶意代码注入以及其他可能泄露敏感信息或导致核心服务中断的事件。

WAF对于满足监管要求也至关重要。像PCI DSS这样的标准，对组织如何保护那些由面向网络的应用程序所处理的敏感数据提出了严格的要求。如果不遵守这些要求，可能会导致高昂的罚款，以及失去客户的信任。

当WAF作为纵深防御策略的一部分被使用时，结合多因素认证和恶意软件防护等措施，WAF就能成为组织数字资产和Web应用程序的重要保护层。

网络应用程序防火墙（WAF）是如何工作的呢？

与远程代理类似，Web应用程序防火墙也会在流量与本地服务器进行通信之前，对进入网络边缘的流量进行过滤。不过，它们的作用是在OSI模型的第7层，并且只处理与Web应用程序相关的流量。

Web应用程序防火墙负责在Web应用程序与寻求网络访问的用户之间实施控制策略。如果用户满足访问条件，防火墙就会允许他们进行访问。在此之前，用户与服务器之间并没有直接的连接关系。这种控制机制对于确保Web应用程序的安全性来说至关重要。

WAF系统还通过应用允许列表或阻止列表来管理对服务器内容的访问。允许列表（即正向安全模型）会限制所有用户的访问请求，除非这些用户被列在防火墙的安全策略中。而阻止列表则相反——它允许所有的访问请求，除非某个IP地址被明确禁止访问。

不过，网络应用程序防火墙工具在完全保护当今的威胁环境方面存在局限性。最重要的是，它们……请不要过滤像FTP或SMTP这样的协议。WAFs的设计初衷就是为了保护网络资产。

因此，WAF系统通常作为更广泛的网络安全架构的一部分而存在。它们是保障互联网安全的关键组成部分。不过，企业可能还需要其他工具来防止恶意流量的入侵，从而保护数据的安全。

部署WAF的多种方式

在选择Web应用防火墙时，相关组织应该了解可用的架构和许可模式。从根本上来说，Web应用防火墙可以是开源的、商业化的或混合型的。开源解决方案在定制和与其他工具集成方面具有更大的灵活性。不过，使用开源解决方案也需要投入相应的资源来支持和维护该软件。

• 开源Web应用防火墙这些工具越来越受欢迎。只要相关组织具备开发能力，那么这些工具就更容易被定制。而且，开源版本还能受益于OWASP全球社区的技能支持。OWASP的社区贡献有助于消除各种新的攻击手段以及SQL漏洞问题。
• 商业/付费型Web应用防火墙这些产品可以作为现成的应用程序防火墙从供应商处购买。这种选择简化了安装过程。不过，用户的定制选项相对较少。此外，用户还需要依赖供应商来提供更新以及维护最新的威胁数据库。

网络应用防火墙的类型

基于网络的WAF系统

基于网络的WAF技术保护本地网络资产这种基于网络的WAF技术，其实是一种……通常安装在硬件设备上。这种网络防火墙设备可以连接到本地服务器以及外部互联网。它能够过滤进入和离开网络的流量，其功能与反向代理防火墙类似。

基于网络的WAF通常能够提供高速度和低延迟。这是因为这些设备被安装在与需要保护的资产非常接近的位置。不过，也有不足之处。硬件设备的安装成本较高。此外，这些设备还需要一定的空间，而在办公室环境中，空间往往比较有限。而且，所有的硬件设备都需要定期维护。

基于主机的WAF

托管的应用程序防火墙是本地安装的。在网络主机上它们通常能够与其所保护的应用程序进行集成，从而为用户提供比其他WAF解决方案更多的灵活性。技术人员可以分别设置每个Web应用程序的访问权限，并为最敏感的网络资产设定优先级。

以主机为中心的Web防火墙的缺点包括数据消耗较大。为每个核心应用程序都安装WAF系统会占用较多的网络资源。此外，Web防火墙的设置过程通常比较复杂。对于不同的工作站或服务器来说，可能需要多个WAF系统。而且，这些防火墙的安装过程需要时间，在某些情况下，其成本也会相当高。

基于云的Web应用防火墙

云托管型网络防火墙系统保护存储在公有云或私有云中的软件即服务（SaaS）应用程序。本地部署的Web防火墙在保护云中的资产方面存在困难。而云端的WAF则旨在对SaaS应用程序的流量进行管控。因此，它们在这方面表现得更为有效。在保护存储在云中的数据时，这是唯一一种可靠的Web防火墙解决方案。

云WAF通常是通过订阅模式来购买的。用户从云安全服务提供商那里购买相应的保护服务。这些云安全服务提供商负责维护云防火墙系统，同时还会定期更新系统以应对新的威胁。此外，云防火墙的部署过程相对简单，只需将其连接到云环境中即可，从而立即获得保护。

大多数主要的云服务平台都提供了防火墙解决方案。例如，AWS（亚马逊云服务）允许用户创建个性化的应用程序安全策略。用户可以监控威胁、阻止攻击行为，同时管理访问请求。

除了基本的防护功能之外，云防火墙还有另一个重要的优点。它们……与云开发流程完全集成。DevOps团队可以安全地向虚拟环境中添加新的内容或服务。企业可以在不影响安全性的前提下，开发和调整云端的部署方式。

从负面角度来看，由云服务提供商来管理的WAF系统始终是由第三方来运营的。用户需要将一些控制权限交给他们的服务提供商。因此，可自定义的选项也会相对较少。不过，对于许多依赖云计算的公司来说，这种权衡是值得的。

由WAF所阻止的攻击行为

网络防火墙解决方案可以做到这一点。能够消除许多常见的网络漏洞。这一点非常重要，因为网络威胁往往是导致数据泄露的常见原因。以下是一些常见的网络攻击方式，而WAF防护模型能够对这些攻击进行防御。

攻击类型

说明/解释

WAF保护技术

云WAF与本地WAF的对比

网络应用防火墙具有许多应用场景和优势。不过，有一个重要的问题需要回答：网络管理员应该选择下一代的云防火墙呢？还是应该选择那些更为老式的本地WAF解决方案来保障网络安全呢？

这对许多公司来说，是一个非常紧迫且实际的问题。而答案其实很简单：企业应该根据自身的网络需求，选择合适的Web防火墙来使用。这一决策会极大地影响到企业的整体Web应用防火墙安全状况。

本地型 Web 防御系统

本地网络防火墙指的是那些位于企业内部、用于保护企业内部网络的防火墙设备。非常适合用于保护本地托管的网页内容。网络防火墙可以保护远程访问网关，使其能够安全地访问本地托管的应用程序以及私有云。此外，Web应用防火墙解决方案还可以有效保护那些连接到外部互联网的网络服务器。

硬件防火墙这些规则是可调整的，而相关管理的流程则完全由当地的IT专业人员来负责。企业可以将安全规则扩展到其服务器上，并为每个Web应用程序实施更细致的安全策略。

不过，本地网络防火墙的部署和维护相当复杂。如果企业计划在未来进行云迁移，那么他们的网络防火墙可能会很快变得过时。此外，要估算防火墙所需的容量也非常困难。增加更多的处理能力也会带来高昂的成本。因此，对于那些希望实现可持续发展的企业来说，硬件防火墙并不适合他们使用。

云防火墙

云WAF是以“安全即服务”的形式提供的。云中的WAF由独立的云服务提供商来管理，这些服务提供商以订阅方式提供相关服务。防火墙能够保护所有云应用程序的安全。客户可以通过集中式控制台来设置安全策略。

Cloud WAF是一种可靠的方法，可以用来保护存储在云容器中的SaaS应用程序以及机密数据。该云防火墙能够追踪访问行为并阻止各种威胁——其效果通常优于本地解决方案。此外，Cloud WAF还能收集数据以供审计使用，同时有效应对云端的DDoS攻击。

云端的WAF也具备良好的扩展性。用户可以在供应商的虚拟化数据中心中额外购买处理能力。对于数据处理能力或客户全云式WAF部署的规模来说，几乎没有限制。因此，对于那些具有发展潜力的公司来说，云WAF是一个非常合适的选择。

关于Web应用程序防火墙的关键点：

• 位于网络服务器与外部互联网之间。
• 过滤进出网络的流量。将服务器与互联网用户隔离开来。
• 在OSI模型的第7层（应用层）进行操作。
• 可以允许或限制特定用户的访问权限，也可以确定对网络内容的访问级别。
• 只需防御基于HTTP的攻击，比如SQL注入攻击。
• 可以以硬件设备、服务器应用程序或云解决方案的形式提供。

常见问题解答