web應用防火牆的實現技術原理

Web應用防火牆的主要技術的對入侵的檢測能力，尤爲是對Web服務入侵的檢測，Web防火牆最大的挑戰是識別率，這並非一個容易測量的指標，由於漏網進去的入侵者，並不是都大肆張揚，好比給網頁掛馬，你很難察覺進來的是那一個，不知道固然也沒法統計。對於已知的攻擊方式，能夠談識別率;對未知的攻擊方式，你也只好等他本身「跳」出來才知道。

如今市場上大多數的產品是基於規則的WAF。其原理是每個會話都要通過一系列的測試，每一項測試都由一個過多個檢測規則組成，若是測試沒經過，請求就會被認爲非法並拒絕。

基於規則的WAFs很容易構建而且能有效的防範已知安全問題。當咱們要制定自定義防護策略時使用它會更加便捷。可是由於它們必需要首先確認每個威脅的特色，因此要由一個強大的規則數據庫支持。WAF生產商維護這個數據庫，而且他們要提供自動更新的工具。

這個方法不能有效保護本身開發的WEB應用或者零日漏洞（攻擊者使用的沒有公開的漏洞），這些威脅使用基於異常的WAF更加有效。

異常保護的基本觀念是創建一個保護層，這個保護層可以根據檢測合法應用數據創建統計模型，以此模型爲依據判別實際通訊數據是不是攻擊。理論上，一但構建成功，這個基於異常的系統應該可以探測出任何的異常狀況。擁有了它，咱們再也不須要規則數據庫並且零日攻擊也再也不成問題了。但基於異常保護的系統很難構建，因此並不常見。由於用戶不瞭解它的工做原理也不相信它，因此它也就不如基於規則的WAF應用廣範。