web防火牆抵禦攻擊是如何實現的

WAF的核心技術在於對Web攻擊防禦的能力和對HTTP本質的理解。前者要求WAF能完整地解析HTTP，包括報文頭部、參數及載荷;支持各類HTTP編碼;提供嚴格的HTTP協議驗證;提供HTML限制;支持各種字符集編碼;具有HTTP Response過濾能力。從下降安全風險的角度而言，後者要求WAF能有效影響攻擊者因素中的機會、羣體因子以及漏洞因素中的發現難易度、利用難易度、入侵檢測與覺察度因子。 那麼，WAF是如何防護Web攻擊的？CSRF是一類被普遍利用的Web應用安全漏洞，該攻擊經過僞造來自受信任用戶的服務請求，誘使用戶按照攻擊者的意圖訪問網站信息，或者執行一些惡意的操做，好比登出網站，購買物品，改變帳戶信息，獲取帳號，或其餘任何網站受權給該用戶的操做等。 相對於使用特徵集的靜態防禦，WAF所採用的動態防禦機制更具智能性和靈活性。基本思路是經過web應用防火牆隨機產生的隱含表單來打斷一個不變的會話，也就是說即便攻擊者獲取到了用戶身份，可是隨機變化的驗證碼讓攻擊者沒法構造一個不變的報文。 還有一類影響Web應用可用性的攻擊也比較典型，即應用層DDoS攻擊，習慣稱爲CC攻擊。不一樣於網絡層帶寬耗盡型的DDoS攻擊，此類攻擊構思更爲精巧，意在以相對較小的代價耗盡Web服務器側的系統資源，如磁盤存儲、數據庫鏈接、線程等。 基於規則的拒絕服務攻擊防禦或者調整Apache配置均很難應對這種攻擊工具。而應用了多種防禦技術的WAF產品，可自然應對基於這類工具的攻擊。