一、什么是waf？

　　传统防火墙无法解析HTTP应用层的细节，对规则的过滤过于死板，无法为Web应用提供足够的防护。

      为了解决上述问题，WAF应运而生。

　　WAF全称为Web Application Firewall，即Web应用程序防火墙。

       WAF属于检测型及纠正型防御控制措施，主要监视和阻止与Web应用程序之间的应用层流量，通过执行一系列针对HTTP/HTTPS的

安全策略来专门为Web应用提供保护的一种设备。

二、基本概念

1、WAF与传统防火墙的区别：    

传统防火墙基于IP和端口过滤，而WAF工作在应用层，通过解析HTTP/HTTPS流量检测SQL注入、XSS等Web攻击。

2、核心功能：

包括漏洞防护（如SQL注入、XSS）、CC攻击防御、反爬虫、日志记录、IP黑名单等。

3、工作原理

检测机制：基于规则匹配（正则表达式）、攻击签名、行为分析和机器学习算法，识别并阻断恶意流量。

4、安全模型：

分为主动模型（白名单）和被动模型（黑名单），前者安全性高但维护复杂，后者易部署但可能漏报。

5、部署方式

透明部署：不改变网络拓扑，故障时不影响业务。

反向代理部署：隐藏服务器真实IP，适用于高安全需求场景。

旁路/镜像部署：仅检测流量，不阻断攻击，适用于审计需求。

三、waf产品

1、硬件Waf：绿盟、启明、安恒、知道创宇、天融信等

硬件Waf通常的安装方式是将Waf串行部署在Web服务器前端，用于检测、阻断异常流量。

常规硬件Waf的实现方式是通过代理技术代理来自外部的流量，并对请求包进行解析，通过安全规则库的攻击规则进行匹配，

如成功匹配规则库中的规则，则识别为异常并进行请求阻断。

2、软件Waf：安全狗、云锁、D盾等

软件Waf则是安装在需要防护的服务器上，实现方式通常是Waf监听端口或以Web容器扩展方式进行请求检测和阻断。

3、云WAF：阿里云、安全狗、安恒、知道创宇等

云WAF，也称WEB应用防火墙的云模式，它的主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。

用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器。