爲何須要WAF

WAF是專門爲保護基於web應用程序而設計的，不像傳統的防火牆，是基於互聯網地址和端口號來監控和阻止數據包。一個標準的端口號對應一種網絡應用程序類型。它的出現是因爲傳統防火牆沒法應對應用層的攻擊進行有效抵抗。而且IPS也沒法從根本上防禦應用層的攻擊，所以出現了web應用防火牆系統。

WAF是一種基礎的安全保護模塊，經過特徵提取和分塊檢索技術進行特徵匹配，主要針對HTTP訪問的web程序保護。WAF部署在Web應用程序前面，在用戶請求到達 Web 服務器前對用戶請求進行掃描和過濾，分析並校驗每一個用戶請求的網絡包，確保每一個用戶請求有效且安全，對無效或有攻擊行爲的請求進行阻斷或隔離。經過檢查HTTP流量，能夠防止源自Web應用程序的安全漏洞（如SQL注入，跨站腳本（XSS），文件包含和安全配置錯誤）的攻擊。

WAF可以區別於常規防火牆，由於WAF可以過濾特定Web應用程序的內容，而常規防火牆則充當服務器之間的安全門。而web應用防火牆不是一個最終的安全解決方案，而是它們要與其餘網絡周邊安全解決方案（如網絡防火牆和入侵防護系統）一塊兒使用，以提供全面的防護策略。

傳統的防火牆容許向郵件服務器相對應的互聯網地址發送數據，讓數據包經過25端口送達目的地。發送數據包給一個不是郵件服務器系統的互聯網地址和25端口，就是一個攻擊。防火牆會阻止這些數據包。Web服務器理應經過80端口傳送數據包。因此全部發給支撐web服務器系統80端口的數據包必須被容許經過防火牆。傳統的防火牆沒有辦法測定一個地址指向正確的數據包是否包含威脅，但Web應用防火牆能夠仔細檢查數據包的內容來檢測並阻止威脅。