隨著Web應(yīng)用越來越多，黑客的攻擊目標(biāo)也逐漸轉(zhuǎn)向?qū)W(wǎng)站的攻擊，尤其是滲透測(cè)試首當(dāng)其沖，被攻擊團(tuán)隊(duì)篩選的單位往往是也非常擅長網(wǎng)絡(luò)安全。爛。傳統(tǒng)防火墻側(cè)重于網(wǎng)絡(luò)層的攻擊防御，對(duì)Web安全的防御能力相對(duì)較弱，甚至基本無能為力。因此，WAF（Web，Web應(yīng)用程序保護(hù)系統(tǒng)）應(yīng)運(yùn)而生，它也是時(shí)代發(fā)展的產(chǎn)物。WAF說白了就是一種應(yīng)用網(wǎng)關(guān)防火墻，只是專注于Web安全的防御。在過去的幾年里，它已經(jīng)發(fā)展成為一個(gè)相對(duì)獨(dú)立的產(chǎn)品。所以，WAF 和防火墻有什么區(qū)別？如何防御Web攻擊？

WAF的本質(zhì)是一個(gè)“專注于網(wǎng)絡(luò)安全的防火墻”。Web安全只關(guān)注應(yīng)用層的HTTP請(qǐng)求，WAF的分析和策略工作在應(yīng)用層。WAF有三種工作模式：透明代理、反向代理和插件模式。透明代理的工作方式與大多數(shù)防火墻相同：請(qǐng)求和轉(zhuǎn)發(fā) HTTP 流量而不需要對(duì)客戶端-服務(wù)器通信進(jìn)行任何更改。在這個(gè)過程中，為了解密HTTPS流量，WAF必須將HTTPS對(duì)稱密鑰與服務(wù)器同步。透明代理的優(yōu)點(diǎn)是易于部署，不需要對(duì)客戶端和服務(wù)器做任何改動(dòng)。但透明代理本身不是Web服務(wù)，因此不能修改或響應(yīng)HTTP請(qǐng)求，只能控制請(qǐng)求的通過或拒絕。

與透明代理不同的是，反向代理需要客戶端將請(qǐng)求的目的地址指向WAF，而不是服務(wù)端。在反向代理工作模式下，服務(wù)器收到的請(qǐng)求實(shí)際上是由WAF發(fā)起的，WAF本身相當(dāng)于一個(gè)Web服務(wù)，負(fù)責(zé)轉(zhuǎn)發(fā)所有的HTTP請(qǐng)求。因?yàn)榉聪虼鞼AF本質(zhì)上是一個(gè)Web服務(wù)，所以可以直接在WAF上部署HTTPS證書。WAF解密HTTPS流量后，可以在內(nèi)網(wǎng)使用HTTP的形式向服務(wù)器發(fā)起代理請(qǐng)求。反向代理WAF作為一個(gè)Web服務(wù)，可以提供更多的功能，可以作為前端認(rèn)證平臺(tái)對(duì)所有請(qǐng)求進(jìn)行身份驗(yàn)證和身份管理。同時(shí)，因?yàn)樗械却恼?qǐng)求都先到WAF，反向代理WAF對(duì)服務(wù)器的隔離也更加徹底。然而，更多的特性意味著更多的性能開銷。因此，反向代理WAF對(duì)硬件的要求更高。其次，反向代理WAF一旦宕機(jī)，將無法響應(yīng)任何客戶端請(qǐng)求。這樣即使服務(wù)器還正常，用戶也無法正常使用應(yīng)用。對(duì)于透明代理WAF，如果WAF宕機(jī)，只是無法提供Web保護(hù)，客戶端與服務(wù)端的通信不會(huì)受到任何影響。即使服務(wù)器還正常，用戶也無法正常使用應(yīng)用。對(duì)于透明代理WAF，如果WAF宕機(jī)，只是無法提供Web保護(hù)，客戶端與服務(wù)端的通信不會(huì)受到任何影響。即使服務(wù)器還正常，用戶也無法正常使用應(yīng)用。對(duì)于透明代理WAFit運(yùn)維技術(shù)，如果WAF宕機(jī)，只是無法提供Web保護(hù)，客戶端與服務(wù)端的通信不會(huì)受到任何影響。

在插件模式下，WAF不再是網(wǎng)絡(luò)中獨(dú)立的安全產(chǎn)品，而是以插件的形式依附于Web服務(wù)器本身，為Web安全提供保障。通過AOP（- ）技術(shù)，可以將WAF作為一個(gè)切片植入到服務(wù)器的邏輯中。但是這種WAF和服務(wù)器強(qiáng)耦合的方式會(huì)帶來一定的負(fù)面影響。首先，它會(huì)消耗服務(wù)器的額外資源，對(duì)Web服務(wù)本身的性能有影響。其次，WAF是和服務(wù)器耦合在一起的，也就是說WAF的所有改動(dòng)都會(huì)直接影響到服務(wù)器。插件方式的WAF必須和服務(wù)器一起進(jìn)入評(píng)估和測(cè)試過程，這會(huì)增加額外的工作量。,同時(shí)對(duì)于運(yùn)維端來說,

WAF是一款專注于網(wǎng)絡(luò)安全的防火墻。其主要模式有透明代理、反向代理和插件，運(yùn)行于網(wǎng)絡(luò)和系統(tǒng)的各個(gè)環(huán)節(jié)。在功能上，WAF可以解決大部分Web安全問題，分析攔截黑客對(duì)Web的攻擊，并提供審計(jì)告警、數(shù)據(jù)保護(hù)等附加能力。如何選擇WAF的三種模式，主要看企業(yè)對(duì)Web安全防護(hù)的具體要求it運(yùn)維技術(shù)，結(jié)合當(dāng)前業(yè)務(wù)發(fā)展情況綜合判斷安全要求的高低。如果您需要更深入的了解WAF防火墻，請(qǐng)咨詢藍(lán)夢(mèng)IT外包。

文/上海瀾夢(mèng)IT外包專家