网络中的 WAF 是什么？

网络环境中的 WAF 是一种 Web 应用程序防火墙，可识别 Web 流量中的恶意活动，并拦截对网站、Web 服务、Web 服务器和 Web 应用程序的威胁。网络中的 WAF 提供的保护与标准防火墙不同，后者充当内部和外部网络流量的过滤器。

Web 应用程序防火墙 是一种安全解决方案，可以为网站、Web 应用程序、移动应用程序和 API 提供必要的防御层。网络环境中的 WAF 负责监控和过滤传入及传出 HTTP 流量以识别威胁，例如 恶意软件、恶意爬虫程序、 零日漏洞，以及其他试图访问资源、危害安全或降低可用性的 Web 相关攻击。

数字化转型使 WAF 成为全面网络安全计划的重要组成部分。对于从事电子商务或通过互联网开展业务的每家企业来说，WAF 可帮助防止旨在对 IT 环境进行未经授权访问或窃取机密客户记录和敏感数据（例如信用卡号）的攻击。接受支付卡的银行、零售商和其他企业可以使用 WAF 来帮助遵守 支付卡行业数据安全标准 (PCI DSS)，该标准是一套旨在保护客户及其支付卡安全的法规。各公司还可以使用 WAF 来保护移动应用程序、保护物联网 (IoT) 网络以及增强整体网络安全。

作为一种反向代理技术，WAF 位于互联网与企业网站和 Web 应用程序之间，可过滤 Web 流量并将预定义的安全规则和策略应用于面向互联网的网络区域，以识别潜在的恶意通信。WAF 会分析标头、查询字符串和 HTTP 请求正文（例如，GET 请求、POST 请求、PUT 请求和 DELETE 请求），以搜索是否存在恶意请求、可疑模式和已知威胁。找到了匹配项时，防火墙可以阻止该请求并向安全团队发出告警。WAF 可以部署一组帮助识别恶意流量的规则或策略。它可以对安全策略进行快速实施和修改，以应对不断变化的 攻击媒介。例如，在 DDoS 攻击期间，网络环境中的 WAF 可以快速实施速率限制，以减少过多的请求。

安全团队可以在网络环境中部署多种类型的 WAF。

• 基于网络的 WAF 通常是本地安装的设备，用以最大限度地降低延迟。这些 WAF 通常是成本最高的 WAF 方案之一，并且需要 IT 团队管理物理设备的存储和维护。
• 基于云的 WAF 提供了一个一站式方案，可实现快速部署、最低的前期成本以及可预测的月度订阅费用。基于云的 WAF 提供对实时威胁情报的访问，可以作为内联解决方案或基于 API 的路径外服务进行部署。

基于软件或主机的 WAF 作为虚拟设备或代理部署在公有云、私有云或本地。基于主机的 WAF 的运营成本通常低于基于网络的 WAF，但其定制化程度高于基于云的 WAF 解决方案。

网络中的 WAF 不同于网络防火墙。WAF 使用基于规则的系统来评估第 7 层（应用层）流量，以抵御与 Web 相关的威胁。传统的网络安全防火墙在第 3 层和第 4 层运行，旨在检查和过滤网络流量，以及防止对 IT 环境进行未经授权的访问。

传统上，WAF 可以识别和阻止各种与 Web 相关的威胁和常见攻击，包括开放全球应用程序安全项目中列出的许多威胁。OWASP 十大 Web 应用程序安全风险包括：

• 权限控制失效
• 加密机制失效
• 注入
• 不安全的设计
• 安全配置错误
• 危险或过旧的组件
• 认证及验证机制失效
• 软件和数据完整性失效
• 安全日志记录和监控失效
• 服务器端请求伪造

• 威胁抵御。 网络中的 WAF 可以保护 Web 应用程序免受各种威胁的侵扰，包括安全配置错误、SQL 注入和跨站点脚本攻击。
• DDoS 抵御。 当 分布式拒绝服务 (DDoS) 攻击发送大量意图导致网站或应用程序速度下降或崩溃的请求时，WAF 可以帮助快速实施速率限制，以保持可用性并允许合法流量访问服务。
• API 防护。 黑客经常将应用程序编程接口 (API) 作为攻击目标，企图进行未经授权的访问或破坏应用程序的性能。通过监控和分析传入的 API 流量，WAF 可以帮助阻止潜在的滥用请求。
• AI/ML 模式分析。 使用人工智能和机器学习技术分析 Web 流量模式时，WAF 可以发现和阻止不符合已知攻击模式的攻击。
• 监控和日志记录。通过使用 WAF 来监控流量和分析日志，安全团队可以更好地了解针对 Web 资产的威胁的性质。
• 应用程序分析。 通过分析应用程序以了解软件的结构、最常见的查询和 URL 以及允许的数据类型，WAF 可以更好地识别和阻止潜在的恶意请求。