WAF是英文"Web Application Firewall"的縮寫，中文意思是"Web應(yīng)用防火墻"，也稱為"網(wǎng)站應(yīng)用級入侵防御系統(tǒng)"。WAF是集WEB防護、網(wǎng)頁保護、負載均衡、應(yīng)用交付于一體的WEB整體安全防護設(shè)備。WAF需要部署在Web服務(wù)器的前面，串行接入，不僅在硬件性能上要求高，而且不能影響Web服務(wù)，所以HA功能、Bypass功能都是必須的，而且還要與負載均衡、Web Cache等Web服務(wù)器前的常見的產(chǎn)品協(xié)調(diào)部署。

WAF的主要技術(shù)是對入侵的檢測能力，尤其是對Web服務(wù)入侵的檢測能力。常見的實現(xiàn)形式包括代理服務(wù)、特征識別、算法識別、模式匹配。

代理服務(wù)代理方式本身是一種安全網(wǎng)關(guān)，基于會話的雙向代理，中斷了用戶與服務(wù)器的直接連接，適用于各種加密協(xié)議，這也是Web的Cache應(yīng)用中最常用的技術(shù)。代理方式有效防止入侵者的直接進入，對DDOS攻擊可以抑制，對非預(yù)料的“特別”行為也有所抑制。

特征識別識別出入侵者是防護它的前提。特征就是攻擊者的“指紋”，如緩沖區(qū)溢出時的Shellcode，SQL注入中常見的“真表達(1=1)”。應(yīng)用信息沒有“標(biāo)準(zhǔn)”，但每個軟件、行為都有自己的特有屬性，病毒與蠕蟲的識別就采用此方式，麻煩的就是每種攻擊都自己的特征，數(shù)量比較龐大，多了也容易相象，誤報的可能性也大。雖然目前惡意代碼的特征指數(shù)型地增長，安全界聲言要淘汰此項技術(shù)，但目前應(yīng)用層的識別還沒有特別好的方式。

算法識別特征識別有缺點，人們在尋求新的方式。對攻擊類型進行歸類，相同類的特征進行模式化，不再是單個特征的比較，算法識別有些類似模式識別，但對攻擊方式依賴性很強，如SQL注入、DDOS、XSS等都開發(fā)了相應(yīng)的識別算法。算法識別是進行語義理解，而不是靠“長相”識別。

模式匹配IDS中“古老”的技術(shù)，把攻擊行為歸納成一定模式，匹配后能確定是入侵行為。協(xié)議模式是其中簡單的，是按標(biāo)準(zhǔn)協(xié)議的規(guī)程來定義模式，行為模式就復(fù)雜一些。

WAF最大的挑戰(zhàn)是識別率，這并不是一個容易測量的指標(biāo)，因為漏網(wǎng)進去的入侵者，并非都大肆張揚，比如給網(wǎng)頁掛馬，很難察覺進來的是哪一個，不知道當(dāng)然也無法統(tǒng)計。對于已知的攻擊方式，可以談識別率；對未知的攻擊方式，你也只好等他自己“跳”出來才知道。

WAF從形態(tài)上可分為硬件WAF、WAF防護軟件和云WAF。硬件WAF通常串行部署在Web服務(wù)器前端，用于檢測、阻斷異常流量。通過代理技術(shù)代理來自外部的流量，并對請求包進行解析，通過安全規(guī)則庫的攻擊規(guī)則進行匹配，如成功匹配規(guī)則庫中的規(guī)則，則識別為異常并進行請求阻斷。

軟件WAF通常部署在需要防護的服務(wù)器上，通過監(jiān)聽端口或以Web容器擴展方式進行請求檢測和阻斷。

云WAF云WAF，也稱WEB應(yīng)用防火墻的云模式，這種模式讓用戶不需要在自己的網(wǎng)絡(luò)中安裝軟件程序或部署硬件設(shè)備，就可以對網(wǎng)站實施安全防護，它的主要實現(xiàn)方式是利用DNS技術(shù)，通過移交域名解析權(quán)來實現(xiàn)安全防護。用戶的請求首先發(fā)送到云端節(jié)點進行檢測，如存在異常請求則進行攔截否則將請求轉(zhuǎn)發(fā)至真實服務(wù)器。