WAF的技術原理

WAF —Web Application Firewall ,能夠用來屏蔽常見的網站漏洞攻擊，如SQL注入，XML注入、XSS等。通常針對的是應用層而非網絡層的入侵，從技術角度應該稱之爲Web IPS。其防禦重點是SQL注入。

Web應用防火牆產品部署在Web服務器的前面，串行接入，不只在硬件性能上要求高，並且不能影響Web服務，因此HA功能、Bypass功能都是必須的，並且還要與負載均衡、Web Cache等Web服務器前的常見的產品協調部署。

Web應用防火牆的主要技術的對入侵的檢測能力，尤爲是對Web服務入侵的檢測，Web防火牆最大的挑戰是識別率，這並非一個容易測量的指標，由於漏網進去的入侵者，並不是都大肆張揚，好比給網頁掛馬，你很難察覺進來的是那一個，不知道固然也沒法統計。對於已知的攻擊方式，能夠談識別率;對未知的攻擊方式，你也只好等他本身「跳」出來才知道。

如今市場上大多數的產品是基於規則的WAF。其原理是每個會話都要通過一系列的測試，每一項測試都由一個過多個檢測規則組成，若是測試沒經過，請求就會被認爲非法並拒絕。

基於規則的WAFs很容易構建而且能有效的防範已知安全問題。當咱們要制定自定義防護策略時使用它會更加便捷。可是由於它們必需要首先確認每個威脅的特色，因此要由一個強大的規則數據庫支持。WAF生產商維護這個數據庫，而且他們要提供自動更新的工具。

這個方法不能有效保護本身開發的WEB應用或者零日漏洞（攻擊者使用的沒有公開的漏洞），這些威脅使用基於異常的WAF更加有效。

Imperva公司的WAF產品在提供入侵防禦的同時，還提供了另一個安全防禦技術，就是對Web應用網頁的自動學習功能，因爲不一樣的網站不可能同樣，因此網站自身頁面的特性沒有辦法提早定義。