web應用防火牆如何檢測並響應攻擊

WAF不用於傳統的防火牆，不止針對一些底層（網絡層和傳輸層）的信息進行阻斷，而是會深刻到應用層，對全部應用信息進行保護。web應用防火牆是經過檢測客戶端和應用服務器之間的請求和響應內容來實現的。因此說，防火牆何時能檢測，如何檢測以及檢測什麼就變得很重要。

檢測什麼將決定其響應能力，WAF應該可以檢測請求/響應對象的全部組件，包括會話詳細內容。若是應用有要求，例如限制用戶會話數量，大多數WAF能夠幫助實現。WAF應該提供可用的配置讓管理員來輕鬆選擇這些選項。若是企業對GET與POST如何使用有具體要求，或者對訪問者進入網站的途徑有特定要求，WAF也應該提供支持。

檢測異常或惡意流量主要是基於如下幾個模型，瞭解每一個模型也很重要。

第一，若是WAF採用黑名單的作法，它只會阻止列表中包含已知攻擊的請求。衆所周知的攻擊(例如SQL注入、拒絕服務和跨站腳本)一般包含容易檢測的某些字符。黑名單很好用，只要WAF支持這種攻擊方法。而且，因爲威脅常常變化，必須保持黑名單的更新。

其二，若是WAF使用白名單的作法，它只會容許知足列表或配置中標準的請求。這種檢測方法須要部署期間前端的更多工做，但一般這是更安全的方法，由於它會阻止一切沒有被定義爲可接受的事物。這兩種方法都應該由企業的技術團隊來配置。

另外WAF如何響應攻擊或異常也很關鍵。WAF提供多種響應選項，這些選項在配置界面容易變動。一般狀況下，WAF會以某種方式與請求或會話進行交互(當發現攻擊或異常時)，例如終止與應用服務器的會話或阻止單個請求。每種方法都有優勢和缺點，對於企業來講，瞭解哪些方法可行很重要。