关于网络应用防火墙（WAF）你需要知道的一切

这篇文章是让你全方位360度去涵盖了你需要知道的关于WAF的所有信息，包括它们的功能、它们所保护的对象、如何实施它们，以及更多的信息。保护你的网络应用程序免受恶意的安全攻击是至关重要的。幸运的是，WAF（网络应用防火墙）可以提供帮助。

简而言之，WAF作为网络应用程序和互联网之间的盾牌，防止没有它可能发生的意外。WAF可以保护你和你客户的应用程序免受跨网站伪造攻击、XSS（跨网站脚本）和SQL注入等。

考虑到网络应用程序攻击是最常见的漏洞原因之一，网络应用程序安全已经变得越来越关键了。正如你即将看到的，WAF是安全的一个关键部分，以防范漏洞。

一、什么是WAF？

网络应用防火墙（WAF）是一种特殊类型的防火墙，它保护你的网络应用免受基于应用的恶意攻击。通俗地说，WAF就像你的WordPress网站的中间人或安全卫士。它将帮助保护网络应用免受跨网站脚本（XSS）、cookie中毒、SQL注入、跨网站伪造等攻击。

WAF将在互联网和你的网络应用之间站岗，同时监测和过滤想要进入你的服务器的HTTP流量。它通过遵守政策，协助确定哪些流量是恶意的，哪些流量不是。类似于代理服务器作为调解人保护客户身份的方式，WAF也有类似的功能–但是是反向的。

它是一个反向代理，充当中间人的角色，保护网络应用服务器免受可能的恶意客户的影响。WAF使用一套规则（或策略）来帮助识别谁真正在你的客人名单上，谁只是想制造麻烦。

二、WAFs和网络防火墙

WAF不应与你的标准网络防火墙（包过滤）相混淆，后者根据一系列标准评估传入数据，包括IP地址、包类型、端口号等等。网络防火墙是好的，在它们所做的事情上是伟大的。唯一的缺点是它们不了解HTTP，因此不能检测到针对网络应用安全缺陷的特定攻击。

这就是WAF的作用，它可以帮助加强你的网络安全，这是网络防火墙无法做到的。它有许多层次。采用不同的安全措施可以帮助你进一步保护各个层次。而采用不同的安全措施可以帮助你进一步保护各个层面。

OSI模型

要了解这些层，你需要了解OSI模型（开放系统互连模型）。OSI模型是一个框架，将网络的整体架构分为七个不同部分。每一层都有自己的安全态势和机制，任何过度关注安全的人都应该知道如何为每一层检测和建立适当的安全方法。

这七个网络层的情况如下：

在分析上述各层时，典型的网络防火墙帮助保护第3-4层，而WAF则协助保护第7层。这也应该提醒我们，WAF不是一个放之四海而皆准的解决方案。它们最好与其他有效的安全措施（如高质量的网络防火墙）相配。

三、基于网络的、基于主机的和基于云的WAF之间的区别

WAF以三种不同的方式之一使用–基于网络、基于主机和基于云。每种方式都有好处和坏处，所以让我们单独看一下每种方式，看看它们是如何比较的。

基于网络的：基于网络的WAFs通常是基于硬件的。它们安装在本地，因此它们将延迟降到最低。然而，它们是一个昂贵的选择，也需要存储和维护设备。

基于主机的：就成本而言，这比基于网络的WAFs要少。另外，它提供了更多的定制选项。这种类型的WAF的缺点之一是消耗本地服务器资源，维护成本，而且实施起来可能很复杂。

基于云的：这是一个负担得起的选择–而且很容易实施。通常情况下，只是改变DNS来重定向流量的问题。此外，基于云的WAFs的前期成本低，付款方式灵活。这些WAF持续更新，以帮助防范最新出现的威胁，不需要用户方面的任何工作或费用。

这种类型的WAF最大的缺点可能是它来自第三方来源，所以你的定制选项有限，完全依赖他们的服务。现在我们对WAF是什么以及不同的类型有了一个基本的概念，让我们更深入地了解它是如何保护你宝贵的网络应用的。

四、WAFs如何保护您的网络应用程序免受恶意攻击

根据Positive technologies的2019年网络应用报告，平均而言，黑客在10个网络应用中有9个中可以攻击用户。是不是很震惊!该报告还发现，在68%的网络应用中，敏感数据的泄露是一种威胁。像这样的统计数据加强了对更有效的网络应用程序保护的需求。

如前所述，WAF通过分析通过的HTTP流量来保护你的服务器–在它到达你的网络应用之前就检测并阻止任何恶意的东西（见下文）。

正如我们刚才所讨论的，WAF也可以是基于网络（硬件）的，也可以是基于软件的，也可以是基于云的，也就是虚拟或物理的。当涉及到WAF如何过滤、检测和阻止恶意流量时–它们通过几种不同的方式实现…

五、WAF的安全模型：封锁名单，允许名单，或两者兼有

WAF通常遵循 “Blocklist”（黑名单）或 “Allowlist”（白名单）的安全模式，或者有时两者都有。当采用Blocklist安全模型时，基本上，你可以建立一个不需要的IP地址或用户代理的列表，你的WAF将自动阻止这些地址。

Allowlist模型则相反，允许你创建一个允许的IP地址和用户代理的专属列表。其他一切都被拒绝。这两种模式都有其优点和缺点，所以现代的WAF通常提供一种混合的安全模式，使你可以同时使用这两种模式。

六、WAF所防止的攻击行为

显然，并不是所有的攻击都能被WAF阻止，然而，它们有助于处理很多攻击。WAF安全可以帮助阻止的一些主要攻击是：

SQL注入：这是被注入或插入到网络输入字段的恶意代码。注入允许攻击破坏应用程序，同时也破坏了底层系统。

跨站脚本攻击（XSS）：客户端脚本被攻击者注入到其他用户查看的网页中。

网络提取：用于通过数据搜刮从网站上提取数据。

无效输入：攻击者篡改HTTP请求，绕过网站的安全机制。

Cookie盗取：当一个cookie被修改，以获得未经授权的用户信息，用于恶意的目的，如身份盗窃。

第7层DoS：HTTP洪水攻击，利用典型的URL数据中的有效请求。

安全性的增强正在不断地被更新和实施，所以请记住，一个好的WAF可以涵盖比上面提到的更多的内容。当确定一个WAF供应商或实施一个WAF时，要确保它是最新的，并包括基本的内容，特别是OWASP的前10名–我们接下来会讨论这个问题。

七、WAFs如何保护您的Web应用免受 “OWASP Top 10″的影响

除了根据前面提到的三种安全模式之一执行外，WAF还自动配备了一套特定的规则（或政策）。这些策略结合了基于规则的逻辑、解析和签名，以帮助检测和防止许多不同的网络应用程序攻击，如前所述。特别是，WAF在防止OWASP（开放网络应用安全项目）每年列出的十大网络应用安全风险方面很有名。这包括诸如服务器端请求伪造（SSRF）、注入和安全记录等恶意攻击。

下面是目前的前十名。你可以看到，从2017年开始有一些合并和新的类别。

在这里找到更多关于OWASP的信息。

虚拟补丁

你会听到许多WAF供应商谈论的另一个充分的保障措施是称为 “虚拟补丁”的东西。一个虚拟补丁本质上是一个规则（或通常是一组规则），可以帮助解决你的软件中的漏洞，而不需要调整代码本身。

许多WAF可以在需要时部署虚拟补丁来修复WordPress核心、插件和主题漏洞。

八、WAF如何帮助你达到法律安全标准

除了安全，WAF还可以帮助解决法律问题。如果你的组织使用、处理或存储敏感信息（信用卡资料等），你必须遵守安全要求和标准。这就是WAF发挥作用的地方。WAF可以帮助各种规模的企业遵守PCI、HIPAA和GDPR等监管标准，使防火墙从合规性和安全性的角度具有价值。

例如，根据支付卡行业数据安全标准（PCI），对企业的首要要求是。”安装和维护防火墙配置以保护持卡人数据”。而且，让我们面对现实吧，遵守法律规定也会给你带来良好的声誉。使用WAF来满足法律标准是一个双赢的办法。

九、不同类型的WordPress防火墙

考虑到WordPress是世界上最流行的内容管理器，也是一个经常被攻击的目标，WordPress网站有一个WAF是很重要的。你可以部署的防火墙类型有几种，分别是：

• WAF安全插件
• 现场专用的WordPress WAFs
• 在线WordPress网站WAFs

下面我们来看看每一种。

WAF安全插件

大多数自我托管的WordPress防火墙是WordPress插件。考虑到它们是多么容易实施和负担得起，它们是理想的。此外，WAF插件也有恶意软件扫描器，这很常见。一些插件采用 “SAAS “模式，提供一个简单和无压力的应用防火墙世界介绍。在另一面，一些插件将不符合要求。 这完全取决于WAF所处的层次。

例如，一些插件WAF位于DNS级别，这通常意味着防火墙在到达其云代理服务器之前监控和过滤HTTP流量。这是对这类防火墙插件的推荐级别。一些著名的WAF供应商是以这种方式设置的（例如Cloudflare – 这是我们将在本文后面讨论的供应商之一）。

然后，你有其他WordPress安全插件，其内置的WAF位于应用程序级别。这意味着防火墙在传入的流量已经到达你的服务器之后–但在加载WordPress脚本之前，对其进行检查。WordPress插件是一个简单而有效的WAF解决方案，通常适用于小型或中型的网站。我们将在本文的后面介绍一些WAF供应商的选择。

现场专用的WordPress WAFs

这些类型的防火墙被安装在您的WordPress网站和互联网连接之间。这意味着每一个发送到你的WordPress网站的HTTP请求最初都要经过WAF。网络应用WAF比WordPress插件更安全一些。也就是说，它们更昂贵，而且需要一些技术知识来管理。

在线WordPress防火墙

这种类型的防火墙不需要安装在与你的网络服务器相同的网络上才能发挥作用。它是一种在线服务，像代理服务器一样工作，你网站的流量通过它进行过滤，然后转发到你的网站。有了在线WordPress防火墙，你网站域名的DNS记录将需要被配置为指向在线WAF。因此，这需要你的WordPress访问者与在线WordPress防火墙沟通，而不是准确地与你的WordPress网站沟通。

缺点是什么？你的网站服务器需要通过互联网访问，以便WAF转发流量到你的网站。换句话说，如果IP地址是已知的，人们可以继续直接与你的网络服务器通信。基本上，在非针对性的WordPress攻击中，攻击者会扫描整个网络寻找易受攻击的网站，你的Web服务器和网站仍然可以到达。

幸运的是，你可以将你的服务器的防火墙配置为只响应来自在线WordPress防火墙的流量，所以如果这种攻击发生，你就不会成为受害者了。

九、WordPress 防火墙的局限性

像任何东西一样，防火墙可能是不完美的。当然，它们提供了额外的保护，但也有一些漏洞。这方面的几个例子是有限的零日漏洞保护，以及网络应用防火墙绕过。有了零日WordPress漏洞，你的WordPress防火墙就有可能无法阻止攻击。

这就是为什么你的供应商响应式菜单是至关重要的。另外，你应该始终使用来自响应式和值得信赖的企业的软件，以确保防火墙规则得到更新。在网络应用程序防火墙被绕过的情况下，这只是一个他们有漏洞的问题。外面有关于绕过WAF的保护的技术。

在这里，如果你的供应商反应迅速，能在短时间内补救问题，你应该没有问题。WAF出现假阳性（阻止无害流量）和假阴性（让有害流量通过）的情况也不少见。这是因为WAF所保护的应用程序经常变化。

此外，一些安全协议经常被忽视。这包括预防措施，如没有采取代码和基础设施审计。随着新数字工具的出现，总会有新的WAF漏洞出现。许多安全问题得到了解决，但有些问题并没有立即被注意到。

综上所述，WAF需要积极维护和配置，以确保它们是最新的。

十、WAF部署

WAF的部署有几种方式。这完全取决于你的应用程序部署在哪里，需要什么服务，你希望如何管理它们，以及所需的灵活性和性能水平。下面是快速介绍…

反向代理：WAF是应用服务器的代理，因此设备流量直接进入WAF。

透明的反向代理：这是一个具有透明模式的反向代理。正因为如此，WAF单独将过滤后的流量发送到网络应用，通过隐藏应用服务器的地址来实现IP屏蔽。

透明桥接：这是HTTP流量直接进入Web应用的地方。其结果是WAF在设备和服务器之间是透明的。

你必须决定哪种部署方法最有效，并涵盖你所需要的一切。

十一、WAF供应商

当谈到实施WAF时，不乏一些公司和供应商在那里提供帮助。只要搜索一下 “WAF供应商”–就会出现大量的结果，包括许多前10名的名单等等。既然如此，以下是一些顶级公司的情况，当涉及到WAF时，这些公司在我们眼中是主要的竞争者。他们都有满足个人需求的功能。

我们将看一下以下WAF供应商：

• AWS
• Cloudflare
• Azure
• WPMU DEV
• Imperva
• Prophaze
• Akamai
• Wordfence
• Sucuri

这里有一个关于他们是谁以及他们最擅长什么的总结。此外，我们还将指出每家公司的一些首要特点以及他们所采取的重要预防安全措施。

AWS

亚马逊的AWS WAF有助于阻止来自网络漏洞和机器人的攻击，这些攻击会改变可用性，影响你的安全，并消耗大量的资源。有了这个WAF，你就可以通过设置运行机器人流量的安全规则和阻止常见的攻击模式（如SQL注入）来控制流量如何到达你的应用程序。

这个WAF部署在亚马逊CloudFront上，作为你的CDN的一部分。这个WAF特别可爱的地方是，你只为你使用的东西付费，费用是基于你的规则数量。此外，还有与你的应用程序收到的网络请求数量相关的费用。

顶级功能：亚马逊的AWS WAF包括其成本效益的网络应用程序保护。与此同时，它还具有易于部署和维护的特点。安全性也是根据你如何开发你的应用程序而整合的，给你比其他WAF更多的定制选项。

最适合：各种规模的企业，只要它们是AWS客户。

帮助缓解：DDoS攻击、SQL注入和跨站脚本攻击（XSS）。

Cloudflare

Cloudflare是一家顶级的云交付应用安全公司，也是全球最牛的免费CDN提供商，当然，一个强大的WAF也与它的保护整合在一起。他们的WAF每天阻止超过570亿个网络威胁。

它的全球100Tbps网络每秒能看到30M个请求，所以当涉及到处理你的网站时，它可以胜任这项工作。它从同一云网络中提供完整的应用安全，在涉及到安全态势时，它是实用和统一的。Cloudflare的网络对威胁具有无可比拟的可见性，这产生了最敏锐和最有效的机器学习。

顶级功能：它有分层防御，包括Cloudfare管理规则，提供先进的零日漏洞保护。此外，它利用核心的OWASP规则，使用自定义规则集，监控和阻止被盗或暴露的凭证，并有灵活的响应选项。此外，它还有日志和报告、问题跟踪、分析和应用层控制。

最适合：从个人使用到中小型企业。此外，它对高级企业和公司来说也很好。另外，它有WordPress WAF规则，所以它对WordPress网站非常好。

帮助缓解：OWASP Top 10、垃圾邮件、DDoS攻击、SQL注入、HTTP Headers，等等。

Azure

微软的Azure是一个云原生WAF，是目前最成功的云平台之一。Azure服务提供了一系列的软件，为其他系统提供实用工具，其中一个产品就是WAF。它针对OWASP记录的前十大漏洞进行跟踪，你也可以添加自定义规则。

它有一个计量收费率，按小时率和数据吞吐率计算，然后按月收费。与其他一些WAF供应商相比，这提供了更低的前期成本。

顶级功能：Azure对OWASP有全面的保护，对你的环境有实时可见性，还有安全警报。此外，它有完整的REST API支持，因此它可以实现DevOps流程的自动化。它还具有DDoS保护功能。

最适合：大型企业和小型企业，都可以。

帮助缓解：OWASP Top 10，DDos攻击，以及任何自定义规则（以及更多）。

WPMU DEV

这里再介绍一下WordPress防火墙插件【Defender Pro 2.6.0汉化中文版|WordPress防火墙安全防护插件】

顶级功能：经过测试，我们的WAF比领先的基于插件的防火墙快25%。在我们300多个防火墙规则集的基础上，我们还能防止OWASP的十大攻击。此外，它对任何托管账户都是免费的。

最适合：小型到大型WordPress网站、托管经销商以及管理多个网站的任何机构或个人。

助于缓解：从SQL注入、XSS和更多的攻击。

Imperva

Imperva的WAF可以阻止攻击，在误报方面几乎没有错误。它还有一个全球SOC，确保你的公司在发现的瞬间得到保护。它是一个多合一的安全解决方案，具有网站安全所需的所有功能。有免费的数据分类和数据库漏洞测试的工具。

顶级功能：Imperva的特点是安全的云和企业内部应用。它阻止了OWASP Top 10和Automated Top 20，此外还有攻击检测、SIEM整合和报告。

最适合：小型到大型公司。

帮助缓解：OWASP Top 10和Automated Top 20及其他。

Prophaze

Prophaze WAF在安全方面的处理量很大。它不仅是一个WAF，而且还是一个RASP、CDN、DDoS等的组合。它通过实施强大的基于云的技术来提供实时的网站保护，以应对最新的威胁。它自动扫描你的网站的数千个漏洞和OWASP前10名。除此之外，它不需要任何额外的配置和自动更新来应对新的威胁。

Prophaze有无限的规则集。另外，与SIEM解决方案的定制集成，支持所有公共云（如AWS）。

顶级功能：一些关键的安全功能是机器人迁移、实时仪表板、24-7支持和基于ML的威胁情报。

最适合：从中型市场到高级企业的范围。

助于缓解：OWASP Top 10 API、DDoS、僵尸保护等。

Akamai

Akamai的WAF是一个可靠的解决方案，可以保护您的网站免受所有已知攻击。它是DDoS领域的世界领导者，另外还将完整的DDoS保护与它的WAF整合在一起。这使得您不需要通过两家公司的流量来接收对您网站服务器的积极请求。有了Akamai，您就可以利用众包智能检测威胁。此外，只需点击几下，就能有效地进行部署和管理。

顶级功能：与其他许多选择相比，Akamai的自动化程度更高。它也很容易使用，可防止DDoS攻击等。它还具有仪表板、警报和有关被阻止的攻击以及您的网站如何受到保护的额外信息。

最适合：小型到大型公司

帮助缓解：DDoS攻击和所有OWASP前10名。

Wordfence

Wordfence是另一个可靠的WAF选择，它是为WordPress网站制作的一个流行的多合一安全插件，有超过200万的活跃安装量。它包括一个端点防火墙和恶意软件扫描器，是专门为WordPress建立的。它的WAF在端点运行，这使得它与WordPress深度整合，这与云端的替代品不同，因为它不会破坏加密，不能被绕过，也不能泄漏数据。它还配有一个漂亮的仪表板，显示安全威胁、扫描等。

顶级功能：垃圾邮件过滤器，预定的安全扫描，防止暴力攻击，实时流量监控，以及更多。

最适合：WordPress网站和小型至大型企业。

助于缓解：暴力破解攻击、OWASP Top 10和其他恶意攻击。

Sucuri

Sucuri是一家针对WordPress的领先安全公司。它有一个基于云的WAF，持续更新以提高对新的和不断变化的威胁的检测和缓解。此外，你可以添加你自己的自定义规则。使用Sucuri，你还可以提高你的WordPress的性能。它具有缓存优化、Analyst CDN和网站加速功能。

顶级功能：DNS级防火墙、恶意软件和阻止列表删除服务，以及暴力破解保护。

最适合：任何规模的WordPress网站和公司/企业。

助于缓解：所有已知的攻击（例如，SQL注入、RCE、RFU等）。

当然，还有许多其他选择。这只是一些评价很高的公司的短名单，当涉及到WAF时，它们可以很好地为你服务。

十二、你需要一个WAF并不奇怪

现在我们介绍的内容实际已经涵盖了WAF的范围，如果你不知道的话，你可以看到它们对安全、合规性、声誉和安心都有好处。而且，希望你对WAF的了解比你想象的要多另外，由于有许多供应商提供WAF，你可以在短时间内启动和运行一个。无论你是否运行一个WordPress网站–都有一个WAF适合你。希望这个参考指南能够帮助回答你或你的客户关于WAF的任何问题。