什么是 Web 應(yīng)用程序防火墻 (WAF)？

Web 應(yīng)用程序防火墻 (WAF) 通過過濾和監(jiān)控 Web 應(yīng)用程序與 Internet 之間的 HTTP 流量來幫助保護(hù) Web 應(yīng)用程序。通常可以保護(hù) Web 應(yīng)用程序，使其免受跨站點(diǎn)偽造、跨站點(diǎn)腳本 (XSS)、文件包含、SQL 注入及其他一些攻擊的影響。WAF 屬于協(xié)議第 7 層防御策略（OSI 模型），并不能抵御所有類型的攻擊。此攻擊緩解方法通常隸屬于一套工具，整套工具共同針對(duì)一系列攻擊手段建立整體防御措施。

通過在 Web 應(yīng)用程序前端部署 WAF，可在 Web 應(yīng)用程序與 Internet 之間形成一道屏障。雖然代理服務(wù)器通過代理保護(hù)客戶機(jī)的身份，但 WAF 是一種反向代理，引導(dǎo)客戶端通過 WAF 到達(dá)服務(wù)器，從而防止暴露服務(wù)器。
WAF 通過一組規(guī)則（通常稱為策略）運(yùn)行。這些策略旨在過濾惡意流量，防止受到應(yīng)用程序漏洞的侵害。WAF 的部分價(jià)值在于政策修改實(shí)施過程快速簡便，因而可以更迅速地響應(yīng)不同的攻擊手段；DDoS 攻擊期間，可通過修改 WAF 策略快速實(shí)施速率限制。

一、黑名單與白名單 WAF 之間有什么區(qū)別？

基于黑名單（消極安全模型）運(yùn)行的 WAF 可防范已知攻擊。您可以將黑名單 WAF 想象為俱樂部保鏢按指示拒絕接待不符合著裝要求的客人。相反，基于白名單（積極安全模型）的 WAF 僅允許接受預(yù)先批準(zhǔn)的流量。類似于奢華派對(duì)保鏢，只接待出席名單列出的客人。無論黑名單還是白名單，二者都有各自的優(yōu)缺點(diǎn)，因此很多 WAF 提供混合安全模型，綜合實(shí)施兩種方法。

二、什么是基于網(wǎng)絡(luò)、基于主機(jī)和基于云的 WAF？

WAF 可以通過三種不同的方式實(shí)現(xiàn)，每種方式都有各自的優(yōu)缺點(diǎn)：

基于網(wǎng)絡(luò)的 WAF 通常基于硬件。由于采用本地安裝模式，因而可以最大限度地縮短延遲，但基于網(wǎng)絡(luò)的 WAF 費(fèi)用最昂貴，而且還要安裝和維護(hù)物理設(shè)備。

基于主機(jī)的 WAF 可完全集成至應(yīng)用程序軟件。這項(xiàng)解決方案的費(fèi)用低于基于網(wǎng)絡(luò)的 WAF，而且還能提供更多定制功能。基于主機(jī)的 WAF 的缺點(diǎn)在于，占用本地服務(wù)器資源、實(shí)施復(fù)雜，還會(huì)產(chǎn)生維護(hù)成本。這些組件通常需要預(yù)留維修時(shí)間，可能成本較高。

基于云的 WAF 是一種極易實(shí)現(xiàn)的經(jīng)濟(jì)型方案；通常提供一站式安裝服務(wù)，就像更改 DNS 重定向流量一樣簡單。另外，基于云的 WAF 的前期成本最低，因?yàn)橛脩舭丛禄虬茨曛Ц栋踩捶?wù)費(fèi)用。基于云的 WAF 還可以提供持續(xù)更新解決方案以抵御最新威脅，用戶無需額外開展工作或投入成本。基于云的 WAF 的缺點(diǎn)在于，用戶將責(zé)任轉(zhuǎn)嫁給第三方，因此對(duì)他們而言，WAF 的某些功能可能成為黑盒。

藍(lán)隊(duì)云應(yīng)用防火墻，無需像使用傳統(tǒng)WAF那樣進(jìn)行設(shè)備的聯(lián)網(wǎng)設(shè)計(jì)和安裝部署，使用更靈活。也無需更改網(wǎng)站配置或代碼，讓體驗(yàn)更快速。并且藍(lán)隊(duì)云技術(shù)團(tuán)隊(duì)具有十年以上安全攻防經(jīng)驗(yàn)，為用戶提煉并優(yōu)化防護(hù)規(guī)則，不斷提升和保障WAF的安全性和可用性。藍(lán)隊(duì)云您值得信賴~