隨著Web應(yīng)用越來越多，黑客的攻擊目標(biāo)也逐漸轉(zhuǎn)向?qū)W(wǎng)站的攻擊，尤其是滲透測試首當(dāng)其沖，被攻擊團隊篩選的單位往往是也非常擅長網(wǎng)絡(luò)安全。爛。傳統(tǒng)防火墻側(cè)重于網(wǎng)絡(luò)層的攻擊防御，對Web安全的防御能力相對較弱，甚至基本無能為力。因此，WAF（Web，Web應(yīng)用程序保護(hù)系統(tǒng)）應(yīng)運而生，它也是時代發(fā)展的產(chǎn)物。WAF說白了就是一種應(yīng)用網(wǎng)關(guān)防火墻，只是專注于Web安全的防御。在過去的幾年里，它已經(jīng)發(fā)展成為一個相對獨立的產(chǎn)品。所以，WAF 和防火墻有什么區(qū)別？如何防御Web攻擊？

WAF的本質(zhì)是一個“專注于網(wǎng)絡(luò)安全的防火墻”。Web安全只關(guān)注應(yīng)用層的HTTP請求，WAF的分析和策略工作在應(yīng)用層。WAF有三種工作模式：透明代理、反向代理和插件模式。透明代理的工作方式與大多數(shù)防火墻相同：請求和轉(zhuǎn)發(fā) HTTP 流量而不需要對客戶端-服務(wù)器通信進(jìn)行任何更改。在這個過程中，為了解密HTTPS流量，WAF必須將HTTPS對稱密鑰與服務(wù)器同步。透明代理的優(yōu)點是易于部署，不需要對客戶端和服務(wù)器做任何改動。但透明代理本身不是Web服務(wù)，因此不能修改或響應(yīng)HTTP請求，只能控制請求的通過或拒絕。

與透明代理不同的是，反向代理需要客戶端將請求的目的地址指向WAF，而不是服務(wù)端。在反向代理工作模式下，服務(wù)器收到的請求實際上是由WAF發(fā)起的，WAF本身相當(dāng)于一個Web服務(wù)，負(fù)責(zé)轉(zhuǎn)發(fā)所有的HTTP請求。因為反向代理WAF本質(zhì)上是一個Web服務(wù)，所以可以直接在WAF上部署HTTPS證書。WAF解密HTTPS流量后，可以在內(nèi)網(wǎng)使用HTTP的形式向服務(wù)器發(fā)起代理請求。反向代理WAF作為一個Web服務(wù)，可以提供更多的功能，可以作為前端認(rèn)證平臺對所有請求進(jìn)行身份驗證和身份管理。同時，因為所有等待的請求都先到WAF，反向代理WAF對服務(wù)器的隔離也更加徹底。然而，更多的特性意味著更多的性能開銷。因此，反向代理WAF對硬件的要求更高。其次，反向代理WAF一旦宕機，將無法響應(yīng)任何客戶端請求。這樣即使服務(wù)器還正常，用戶也無法正常使用應(yīng)用。對于透明代理WAF，如果WAF宕機，只是無法提供Web保護(hù)，客戶端與服務(wù)端的通信不會受到任何影響。即使服務(wù)器還正常，用戶也無法正常使用應(yīng)用。對于透明代理WAF，如果WAF宕機，只是無法提供Web保護(hù)，客戶端與服務(wù)端的通信不會受到任何影響。即使服務(wù)器還正常，用戶也無法正常使用應(yīng)用。對于透明代理WAFit運維技術(shù)，如果WAF宕機，只是無法提供Web保護(hù)，客戶端與服務(wù)端的通信不會受到任何影響。

在插件模式下，WAF不再是網(wǎng)絡(luò)中獨立的安全產(chǎn)品，而是以插件的形式依附于Web服務(wù)器本身，為Web安全提供保障。通過AOP（- ）技術(shù)，可以將WAF作為一個切片植入到服務(wù)器的邏輯中。但是這種WAF和服務(wù)器強耦合的方式會帶來一定的負(fù)面影響。首先，它會消耗服務(wù)器的額外資源，對Web服務(wù)本身的性能有影響。其次，WAF是和服務(wù)器耦合在一起的，也就是說WAF的所有改動都會直接影響到服務(wù)器。插件方式的WAF必須和服務(wù)器一起進(jìn)入評估和測試過程，這會增加額外的工作量。,同時對于運維端來說,

WAF是一款專注于網(wǎng)絡(luò)安全的防火墻。其主要模式有透明代理、反向代理和插件，運行于網(wǎng)絡(luò)和系統(tǒng)的各個環(huán)節(jié)。在功能上，WAF可以解決大部分Web安全問題，分析攔截黑客對Web的攻擊，并提供審計告警、數(shù)據(jù)保護(hù)等附加能力。如何選擇WAF的三種模式，主要看企業(yè)對Web安全防護(hù)的具體要求it運維技術(shù)，結(jié)合當(dāng)前業(yè)務(wù)發(fā)展情況綜合判斷安全要求的高低。如果您需要更深入的了解WAF防火墻，請咨詢藍(lán)夢IT外包。

文/上海瀾夢IT外包專家