行业动态

随着Web应用越来越多，黑客的攻击目标也逐渐转向对网站的攻击，尤其是渗透测试首当其冲，被攻击团队筛选的单位往往是也非常擅长网络安全。烂。传统防火墙侧重于网络层的攻击防御，对Web安全的防御能力相对较弱，甚至基本无能为力。因此，WAF（Web，Web应用程序保护系统）应运而生，它也是时代发展的产物。WAF说白了就是一种应用网关防火墙，只是专注于Web安全的防御。在过去的几年里，它已经发展成为一个相对独立的产品。所以，WAF 和防火墙有什么区别？如何防御Web攻击？

WAF的本质是一个“专注于网络安全的防火墙”。Web安全只关注应用层的HTTP请求，WAF的分析和策略工作在应用层。WAF有三种工作模式：透明代理、反向代理和插件模式。透明代理的工作方式与大多数防火墙相同：请求和转发 HTTP 流量而不需要对客户端-服务器通信进行任何更改。在这个过程中，为了解密HTTPS流量，WAF必须将HTTPS对称密钥与服务器同步。透明代理的优点是易于部署，不需要对客户端和服务器做任何改动。但透明代理本身不是Web服务，因此不能修改或响应HTTP请求，只能控制请求的通过或拒绝。

与透明代理不同的是，反向代理需要客户端将请求的目的地址指向WAF，而不是服务端。在反向代理工作模式下，服务器收到的请求实际上是由WAF发起的，WAF本身相当于一个Web服务，负责转发所有的HTTP请求。因为反向代理WAF本质上是一个Web服务，所以可以直接在WAF上部署HTTPS证书。WAF解密HTTPS流量后，可以在内网使用HTTP的形式向服务器发起代理请求。反向代理WAF作为一个Web服务，可以提供更多的功能，可以作为前端认证平台对所有请求进行身份验证和身份管理。同时，因为所有等待的请求都先到WAF，反向代理WAF对服务器的隔离也更加彻底。然而，更多的特性意味着更多的性能开销。因此，反向代理WAF对硬件的要求更高。其次，反向代理WAF一旦宕机，将无法响应任何客户端请求。这样即使服务器还正常，用户也无法正常使用应用。对于透明代理WAF，如果WAF宕机，只是无法提供Web保护，客户端与服务端的通信不会受到任何影响。即使服务器还正常，用户也无法正常使用应用。对于透明代理WAF，如果WAF宕机，只是无法提供Web保护，客户端与服务端的通信不会受到任何影响。即使服务器还正常，用户也无法正常使用应用。对于透明代理WAFit运维技术，如果WAF宕机，只是无法提供Web保护，客户端与服务端的通信不会受到任何影响。

在插件模式下，WAF不再是网络中独立的安全产品，而是以插件的形式依附于Web服务器本身，为Web安全提供保障。通过AOP（- ）技术，可以将WAF作为一个切片植入到服务器的逻辑中。但是这种WAF和服务器强耦合的方式会带来一定的负面影响。首先，它会消耗服务器的额外资源，对Web服务本身的性能有影响。其次，WAF是和服务器耦合在一起的，也就是说WAF的所有改动都会直接影响到服务器。插件方式的WAF必须和服务器一起进入评估和测试过程，这会增加额外的工作量。,同时对于运维端来说,

WAF是一款专注于网络安全的防火墙。其主要模式有透明代理、反向代理和插件，运行于网络和系统的各个环节。在功能上，WAF可以解决大部分Web安全问题，分析拦截黑客对Web的攻击，并提供审计告警、数据保护等附加能力。如何选择WAF的三种模式，主要看企业对Web安全防护的具体要求it运维技术，结合当前业务发展情况综合判断安全要求的高低。如果您需要更深入的了解WAF防火墙，请咨询蓝梦IT外包。

文/上海澜梦IT外包专家