WAF,全稱為:Web Application Firewall,即 Web 應用防火牆。對此,維基百科是這麼解釋的:Web應用程式防火牆過濾,監視和阻止與Web應用程式之間的HTTP流量。WAF與常規防火牆的區別在於,WAF能夠過濾特定Web應用程式的內容,而常規防火牆則充當伺服器之間的安全門。透過檢查HTTP流量,它可以防止源自Web應用程式安全漏洞的攻擊,例如SQL注入、跨站點指令碼,檔案包含和安全性錯誤配置。
WAF的出現是由於傳統防火牆無法對應用層的攻擊進行有效抵抗,並且IPS也無法從根本上防護應用層的攻擊。因此出現了保護Web應用安全的Web應用防火牆系統(簡稱“WAF”)。WAF是一種基礎的安全保護模組,透過特徵提取和分塊檢索技術進行特徵匹配,主要針對 HTTP 訪問的 Web 程式保護。WAF部署在Web應用程式前面,在使用者請求到達 Web 伺服器前對使用者請求進行掃描和過濾,分析並校驗每個使用者請求的網路包,確保每個使用者請求有效且安全,對無效或有攻擊行為的請求進行阻斷或隔離。
WAF,全稱為:Web Application Firewall,即 Web 應用防火牆。對此,維基百科是這麼解釋的:Web應用程式防火牆過濾,監視和阻止與Web應用程式之間的HTTP流量。WAF與常規防火牆的區別在於,WAF能夠過濾特定Web應用程式的內容,而常規防火牆則充當伺服器之間的安全門。透過檢查HTTP流量,它可以防止源自Web應用程式安全漏洞的攻擊,例如SQL注入、跨站點指令碼,檔案包含和安全性錯誤配置。
WAF的出現是由於傳統防火牆無法對應用層的攻擊進行有效抵抗,並且IPS也無法從根本上防護應用層的攻擊。因此出現了保護Web應用安全的Web應用防火牆系統(簡稱“WAF”)。WAF是一種基礎的安全保護模組,透過特徵提取和分塊檢索技術進行特徵匹配,主要針對 HTTP 訪問的 Web 程式保護。WAF部署在Web應用程式前面,在使用者請求到達 Web 伺服器前對使用者請求進行掃描和過濾,分析並校驗每個使用者請求的網路包,確保每個使用者請求有效且安全,對無效或有攻擊行為的請求進行阻斷或隔離。
WAF主要提供對Web應用層資料的解析,對不同的編碼方式做強制多重轉換還原為攻擊明文,把變形後的字元組合後再分析,能夠較好的抵禦來自Web層的組合攻擊主要抵禦演算法為基於上下文的語義分析。
WAF是隨著目前Web一個用的日益流行,實現Web應用防護的一類新型安全產品,它與傳統的IPS在某些防護效果上有功能重疊的部分(例如防止SQL注入攻擊),但兩款產品在工作原理、市場定位、功能特點、部署模式等方面存在顯著差異。可以說,WAF防火牆是對運營Web應用的具備一定防護能力的網路環境的Web攻擊防護能力的必要增強。IPS和IDS是該網路環境必備的基礎裝置。
Web防火牆,主要是對Web特有入侵方式的加強防護,如DDOS防護、SQL注入、XML注入、XSS等。由於是應用層而非網路層的入侵,從技術角度都應該稱為Web IPS,而不是Web防火牆。這裡之所以叫做Web防火牆,是因為大家比較好理解,業界流行的稱呼而已。由於重點是防SQL注入,也有人稱為SQL防火牆。
Web防火牆產品部署在Web伺服器的前面,序列接入,不僅在硬體效能上要求高,而且不能影響Web服務,所以HA功能、Bypass功能都是必須的,而且還要與負載均衡、Web Cache等Web伺服器前的常見的產品協調部署。