Web应用防火墙是做什么的-与传统网络设备的区别

教程大全 2026-01-08 04:11:29 浏览次

WAF是什么?

WAF的全称是(Web Application Firewall)即Web应用防火墙，简称WAF。

国际上公认的一种说法是：Web应用防火墙是通过执行一系列针对HTTP/httpS的安全策略来专门为Web应用提供保护的一款产品。

WAF常见的部署方式：

WAF常见部署方式：WAF一般部署在Web服务器之前，用来保护Web应用。

那么WAF能做什么?

从定义中可以看出应用交付的宗旨是保证企业关键业务的可靠性、可用性与安全性。应用交付应是多种技术的殊途同归，比如广域网加速、负载均衡、Web应用防火墙…针对不同的应用需求有不同的产品依托和侧重。

WAF不能做什么?

WAF与传统安全设备的区别：

传统安全设备特点：

WAF特点：

WAF是专业的应用层安全防护产品。

WAF的主要功能：

WAF的主要厂家：

WAF的发展历程

WAF的发展主要经历了IPS架构，反向代理，透明代理和流模式。

IPS架构的特点：

优势：

劣势：

反向代理特点：

优势：

劣势：

透明代理特点：

优势：

劣势：

流模式特点：

优势：

劣势：

WAF关键技术

WAF的透明代理技术原理：

图：WAF透明代理技术原理

透明代理技术基于TCP连接，网络协议栈应用层的代理技术，实现与客户端以及服务器双向独立的TCP连接建立，隔绝客户端和服务器的直接TCP连接建立。通讯过程如下：

图：WAF通信过程

WAF主要会更改如下数据包内容项：

Web应用安全防护策略：

基于WEB攻击特征库的正则表达式的匹配方式;策略规则组织成规则链表的方式，深度检查请求头部、请求提交内容，响应头部，响应内容体等内容进行逐条匹配检查。

主要可以防止以下攻击：

Web应用安全审计：

WAF可以审计所有用户访问行为，通过对访问记录的深度分析，可以发掘出一些潜在的威胁情况，对于攻击防护遗漏的请求，仍然可以起到追根索源的目的。

防CC：

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来消耗服务器资源的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

防止CC攻击的原理：

Web应交交付：

“应用交付”，实际上就是指应用交付网络(Application Delivery Networking，简称ADN)，它利用相应的网络优化/加速设备，确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。

从定义中可以看出应用交付的宗旨是保证企业关键业务的可靠性、可用性与安全性。应用交付应是多种技术的殊途同归，比如广域网加速、负载均衡、Web应用防火墙…针对不同的应用需求有不同的产品依托和侧重。

WAF一般可做的应用交付主要是通过：

WAF的多种部署模式

WAF一般支持透明代理，反向代理，旁路监控，桥模式部署模式。

透明代理串接模式：

图：WAF部署场景-透明代理串接模式

透明代理部署模式支持透明串接部署方式。串接在用户网络中，可实现即插即用，无需用户更改网络设备与服务器配置。部署简单易用，应用于大部分用户网络中。

部署特点：

透明代理串接模式是采用最多的部署模式，防御效果好。

反向代理模式：

反向代理又分为两种模式，反向代理(代理模式)与反向代理(牵引模式)。

代理模式：

图：WAF部署场景-反向代理(代理模式)

WAF采用反向代理模式以旁路的方式接入到网络环境中，需要更改网络防火墙的目的映射表，网络防火墙映射WAF的业务口地址，将服务器的IP地址进行隐藏。

即在图中，当外网去访问www.test.com时，会解析到110.1.1.1。在网络防火墙FW上，会通过nat-server技术，将110.1.1.1外网地址解析为192.168.1.1的内网地址。而192.168.1.1为WAF的业务口地址，WAF会去访问后端服务器192.168.1.100，将包返回给WAF，WAF再返回给用户，起到了代理作用，隐藏了真正的Web服务器地址。

部署特点：

牵引模式：

图：WAF部署场景-反向代理(牵引模式)

WAF采用反向代理模式以旁路的方式接入到网络环境中，需要在核心交换机上做策略路由PBR，将客户端访问服务器的流量牵引到WAF上，策略路由的下一跳地址为WAF的业务口地址。

部署特点:

旁路监控模式：

图：WAF部署场景-旁路监控模式

采用旁路监听模式，在交换机做服务器端口镜像，将流量复制一份到WAF上，部署时不影响在线业务。在旁路模式下WAF只会进行告警而不阻断。

透明桥模式：

图：WAF部署场景-透明桥模式

透明桥模式是真正意义上的纯透明，不会改变更改数据包任何内容，比如源端口、TCP序列号，桥模式不跟踪TCP会话，可支持路由不对称环境。

WAF可靠性部署-透明代理下的HA主备模式：