随着Web应用越来越多，黑客的攻击目标也逐渐ㄨ转向对网站的攻击，尤其是渗透测试首当其冲，被攻击团队筛选的单位【往往是也非◣常擅长网络安全。烂。传统防火墙侧①重于网络层的攻击防御，对Web安全∏的防御能力相对较弱，甚至基本无能为力。因此，WAF（Web，Web应用程序保护系统）应运而生，它也是时代发展的产物。WAF说白了就是一种应用网关防火『墙，只是专注于Web安全的防御。在过去的几年里，它已经发●展成为一个相对独立的产品。所以，WAF 和防火墙有★什么区别？如何防御Web攻击？

WAF的本质是一个“专注于网络安全的☆防火墙”。Web安全只↑关注应用层的HTTP请求，WAF的分析和策略工作在应用层。WAF有三种工作模式：透明代理、反向代理和插件模式。透明代理∮的工作方式与大多数防火墙相同：请求和转①发 HTTP 流量而不需要对客№户端-服务器通信进行任何更改。在这个过程中，为了解密HTTPS流量，WAF必须将HTTPS对称密钥与服务器同步。透明代理的优点是易于部署，不需要对客户端和服务器做任何改动。但透←明代理本身不是Web服务，因此不能修改或响应HTTP请求，只能控制请求的通过或拒绝。

与透〖明代理不同的是，反向代理需要客▽户端将请求的目的地址指向WAF，而不是服务端。在反向代理工作模式下，服务器收到的●请求实际上是由WAF发起的，WAF本身相当于一个Web服务，负责转发所有的HTTP请求。因为反向代理WAF本质上』是一个Web服务，所以可以直接在WAF上部署HTTPS证书。WAF解密HTTPS流量后，可以在内网使用HTTP的形式向服务器发起代理请求。反向代理WAF作为一个Web服务，可以提供◥更多的功能，可以作为前端认证平台★对所有请求进◣行身份验证和身份管理。同时，因为所有▂等待的请求都先到WAF，反向代理WAF对服务器的隔离也更加彻底。然而，更多的特性意味着更多的性能开销。因此，反向代理WAF对硬件的要求更高。其次，反向代理WAF一旦宕机，将无法响应任何客户端请求。这样即使服务器还正常≡，用户也¤无法正常使用应用※。对于透明代理【WAF，如果WAF宕机，只是无法◢提供Web保护，客户端与╳服务端的通信不会受到任何影响。即使服务器还正常，用户也无法正常使用应】用。对于透明代理WAF，如果WAF宕机，只是无法提供Web保护，客户端与服务端的☆通信不会受到任何影响。即使服务器还正常，用户也无法正常⌒　使用应用↘。对于透明代理WAFit运维技术，如果WAF宕机，只是无法提供Web保护，客户端与服务端的通信■不会受到任何影响。

在插件模式下，WAF不再是网络中独立的安全产品，而是以插件的Ψ 形式依附于Web服务器本身，为Web安全提供保障。通过AOP（- ）技术，可以将WAF作为一个切片植入到服务器的逻辑中。但是这种WAF和服务器强耦合的方式会带来一定的负面影响。首先，它会消耗服务器的额外资源，对Web服务本身的性能有影①响。其次，WAF是和服务器耦合在一起的，也就是说WAF的所有改动都会直接影响到服务器。插件方式的WAF必须和服务器一起进入评估和测试过程，这会↘增加额外的工作量。,同时对于运维端来说,

WAF是一款专注于网络安全的々防火墙。其主要模式有透明代理、反向代理和插件，运行于网络和系统的各个环节。在功能上，WAF可以解决大部分Web安全问题，分析拦截黑客对Web的攻击，并提供审计告警、数据¤保护等附加能力。如何选择WAF的三种ξ模式，主要看企业◣对Web安全防护的具体要求it运维技术，结合当前业务发展情况综合判断安全要求的高低。如果您需◣要更深入的了解WAF防火墙，请咨询蓝梦IT外包。

文/上海澜梦IT外包专家