WAF（Web 應(yīng)用程序防火墻）通過過濾和監(jiān)控 Web 應(yīng)用程序與互聯(lián)網(wǎng)之間的 HTTP 流量來幫助保護(hù) Web 應(yīng)用程序。它通?？梢员Ｗo(hù) Web 應(yīng)用程序，使其免受跨站點(diǎn)偽造、跨站點(diǎn)腳本 (XSS)、文件包含、SQL 注入及其他一些攻擊的影響。WAF 屬于協(xié)議第 7 層防御策略（OSI 模型中），并不能抵御所有類型的攻擊。此攻擊緩解方法通常隸屬于一套工具，整套工具共同針對一系列攻擊手段建立整體防御措施。

通過在 Web 應(yīng)用程序前端部署 WAF，可在 Web 應(yīng)用程序與 Internet 之間形成一道屏障。雖然代理服務(wù)器通過中介保護(hù)客戶機(jī)的身份，但 WAF 是一種反向代理，引導(dǎo)客戶端通過 WAF 到達(dá)服務(wù)器，從而防止暴露服務(wù)器。

WAF 通過一組通常稱為“政策”的規(guī)則進(jìn)行運(yùn)作。這些政策旨在過濾惡意流量，防止受到應(yīng)用程序漏洞的侵害。WAF 的部分價值在于可以快速簡便地修改政策，因而可以更迅速地響應(yīng)不同的攻擊手段。在 DDoS 攻擊期間，可通過修改 WAF 政策快速實(shí)施速率限制。

黑名單與白名單 WAF 之間有什么區(qū)別？

基于黑名單（消極安全模型）運(yùn)行的 WAF 可防范已知攻擊。您可以將黑名單 WAF 想象為俱樂部保鏢按指示拒絕接待不符合著裝要求的客人。相反，基于白名單（積極安全模型）的 WAF 僅允許接受預(yù)先批準(zhǔn)的流量。類似于奢華派對保鏢，只接待出席名單列出的客人。無論黑名單還是白名單，二者都有各自的優(yōu)缺點(diǎn)，因此很多 WAF 提供混合安全模型，綜合實(shí)施兩種方法。

什么是基于網(wǎng)絡(luò)、基于主機(jī)和基于云的 WAF？

WAF 可以通過三種不同的方式來實(shí)施，每種方式都有各自的優(yōu)缺點(diǎn)：

• 基于網(wǎng)絡(luò)的 WAF 通?；谟布Ｓ捎诓捎帽镜匕惭b模式，因而可以最大限度地縮短延遲，但基于網(wǎng)絡(luò)的 WAF 費(fèi)用最昂貴，而且還要安裝和維護(hù)物理設(shè)備。
• 基于主機(jī)的 WAF 可完全集成至應(yīng)用程序軟件。這種解決方案的成本低于基于網(wǎng)絡(luò)的 WAF，而且還能提供更多定制功能?；谥鳈C(jī)的 WAF 的缺點(diǎn)在于，占用本地服務(wù)器資源，實(shí)施起來復(fù)雜，而且還會產(chǎn)生維護(hù)成本。這些組件通常需要預(yù)留維護(hù)時間，可能成本較高。
• 基于云的 WAF 是一種極易實(shí)施的經(jīng)濟(jì)型方案；通常提供一站式安裝服務(wù)，就像更改 DNS 來重定向流量一樣簡單。另外，基于云的 WAF 的前期成本最低，因?yàn)橛脩舭丛禄虬茨曛Ц栋踩捶?wù)費(fèi)用?；谠频?WAF 還可以提供持續(xù)更新解決方案以抵御最新威脅，用戶無需額外開展工作或投入成本?；谠频?WAF 的缺點(diǎn)在于，用戶將責(zé)任轉(zhuǎn)嫁給第三方，因此對他們而言，WAF 的某些功能可能成為黑盒。（基于云的 WAF 是一種云防火墻類型；