WAF

Web应用防火墙

条目

历史版本

WAF（WEB Application Firewall），全称为“Web应用防火墙”，也称为“网站应用级入侵防御系统“。^[1]WAF通过执行一系列针对HTTP/HTTPS的安全策略，专门为WEB应用提供保护。主要用于防御针对网络应用层的攻击，例如SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。^[2]是一款集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备。^[1]弥补了传统防火墙、IPS这类安全设备对Web应用攻击的防护能力不足的问题。^[3]

产生背景

2004年，国外的一些安全厂商提出了WEB应用防火墙（简称WAF）的概念，并逐步开始了尝试。随着互联网的普及，企业的WEB应用越来越多，来自于WEB的信息安全风险也越发突出。^[4]WEB攻击通常分为恶意扫描、溢出攻击、拒绝服务、会话劫持、信息窃取等等。与传统攻击的不同之处在于，WEB攻击的对象不再是操作系统、TCP/IP协议栈等底层的组件，而是针对WEB应用程序的应用层攻击。^[5]WAF可以检测HTTP协议的请求，解析HTTP请求中的响应元素，对存在威胁的请求进行拦截，从而实现对WEB应用层的安全防护工作。^[6]

WAF技术经历了一系列的演变：

第一代WAF有两个主要内容：HTTP属性（方法、地址、参数）和分析前的数据转换。采用基于签名的方法，防止服务器攻击，如RCE、路径遍历和 SQL注入等攻击。 ^[7]
第二代WAF采用了建立动态模型的办法，即“自学习模型”的检测手段，保护用户免受攻击。^[7]
第三代WAF可建立一个创新的安全模型，识别用户合法请求中混杂着恶意请求的混合流量，防止绕过攻击。^[7]
第四代WAF采用了基于算法的检测新技术，根据黑客攻击手法进行分析，运用应对该攻击手法的新算法，实时地分析网络数据。弥补基于自学习模型检测手段的资源耗用问题和基于创新的安全模型的变种检测准确率不高的问题。^[7]