网络中的 WAF 是什么？

网络环境中的 WAF 是一种 Web 应用程序防火墙，可识别 Web 流量中的恶意活动，并拦截对网站、Web 服务、Web 服务器和 Web 应用程序的威胁。网络中的 WAF 提供的保护与标准防火墙提供的不同，后者充当内部和外部网络流量的过滤器。

A 应用程序防火墙 是一种安全解决方案，可以为网站、Web 应用程序、移动应用程序和 API 提供必要的防御层。网络环境中的 WAF 负责监控和过滤传入及传出 HTTP 流量以识别威胁，例如 恶意软件、恶意爬虫程序、 零日漏洞，以及其他试图访问资源、危害安全或降低可用性的 Web 相关攻击。

数字化转型使 WAF 成为全面网络安全计划的重要组成部分。对于从事电子商务或通过互联网开展业务的每家企业来说，WAF 可帮助防止旨在对 IT 环境进行未经授权访问或窃取机密客户记录和敏感数据（例如信用卡号）的攻击。接受支付卡的银行、零售商和其他企业可以使用 WAF 来帮助遵守 支付卡行业数据安全标准 (PCI DSS)，该标准是一套旨在保护客户及其支付卡安全的法规。各公司还可以使用 WAF 来保护移动应用程序、保护物联网 (IoT) 网络以及增强整体网络安全。

作为一种反向代理技术，WAF 位于互联网与企业网站和 Web 应用程序之间，可过滤 Web 流量并将预定义的安全规则和策略应用于面向互联网的网络区域，以识别潜在的恶意通信。WAF 会分析标头、查询字符串和 HTTP 请求正文（例如，GET 请求、POST 请求、PUT 请求和 DELETE 请求），以搜索是否存在恶意请求、可疑模式和已知威胁。找到了匹配项时，防火墙可以阻止该请求并向安全团队发出告警。WAF 可以部署一组帮助识别恶意流量的规则或策略。它可以对安全策略进行快速实施和修改，以应对不断变化的 攻击媒介。例如，在 DDoS 攻击期间，网络环境中的 WAF 可以快速实施速率限制，以减少过多的请求。

安全团队可以在网络环境中部署多种类型的 WAF。

• 基于网络的 WAF 通常是本地安装的设备，用以最大限度地降低延迟。这些 WAF 通常是成本最高的 WAF 方案之一，并且需要 IT 团队管理物理设备的存储和维护。
• 基于云的 WAF 提供了一个一站式方案，可实现快速部署、最低的前期成本以及可预测的月度订阅费用。基于云的 WAF 提供对实时威胁情报的访问，可以作为内联解决方案或基于 API 的路径外服务进行部署。

基于软件或主机的 WAF 作为虚拟设备或代理部署在公有云、私有云或本地。基于主机的 WAF 的运营成本通常低于基于网络的 WAF，但其定制化程度高于基于云的 WAF 解决方案。

网络中的 WAF 不同于网络防火墙。WAF 使用基于规则的系统来评估第 7 层（应用层）流量，以抵御与 Web 相关的威胁。传统的网络安全防火墙在第 3 层和第 4 层运行，旨在检查和过滤网络流量，以及防止对 IT 环境进行未经授权的访问。

传统上，WAF 可以识别和阻止各种与 Web 相关的威胁和常见攻击，包括开放全球应用程序安全项目中列出的许多威胁。OWASP 十大 Web 应用程序安全风险包括：

• 权限控制失效
• 加密机制失效
• 注入
• 不安全的设计
• 安全配置错误
• 危险或过旧的组件
• 认证及验证机制失效
• 软件和数据完整性失效
• 安全日志记录和监控失效
• 服务器端请求伪造

• 威胁抵御。 网络中的 WAF 可以保护 Web 应用程序免受各种威胁的侵扰，包括安全配置错误、SQL 注入和跨站点脚本攻击。
• DDoS 抵御。 当 分布式拒绝服务 (DDoS) 攻击发送大量意图导致网站或应用程序速度下降或崩溃的请求时，WAF 可以帮助快速实施速率限制，以保持可用性并允许合法流量访问服务。
• API 防护。 黑客经常将应用程序编程接口 (API) 作为攻击目标，企图进行未经授权的访问或破坏应用程序的性能。通过监控和分析传入的 API 流量，WAF 可以帮助阻止潜在的滥用请求。
• AI/ML 模式分析。 使用人工智能和机器学习技术分析 Web 流量模式时，WAF 可以发现和阻止不符合已知攻击模式的攻击。
• 监控和日志记录。通过使用 WAF 来监控流量和分析日志，安全团队可以更好地了解针对 Web 资产的威胁的性质。
• 应用程序分析。 通过分析应用程序以了解软件的结构、最常见的查询和 URL 以及允许的数据类型，WAF 可以更好地识别和阻止潜在的恶意请求。