03Web应用防火墙（WAF）

Web 应用防火墙（WAF）是保护暴露在互联网上的 Web 资产（网站、API、H5 应用）的关键安全控件。它通过深度分析 HTTP/HTTPS 流量，专门防御 OWASP Top 10 等应用层攻击，并提供虚拟补丁等敏捷响应能力。

## 概述

Web 应用防火墙（Web Application Firewall） 是一种专门用于保护 Web 应用程序 的安全设备或服务。它通过监控、过滤和阻断应用程序与用户之间传输的 HTTP/HTTPS 流量，来防御针对 Web 应用层的各类攻击。

与传统防火墙和下一代防火墙（NGFW）的定位不同：

- 传统防火墙/NGFW：主要工作在网络层、传输层，保护的是网络边界，关心的是 IP、端口、协议和通用应用。
- WAF：专门工作在应用层（第七层），保护的是具体的 Web 应用业务（如网站、API 接口），关心的是 HTTP 请求/响应的具体内容，例如 URL、参数、Cookie、报文头等。

> 比喻：

NGFW 是保护整个办公大楼的安保系统，检查每一个进出大楼的人。

WAF 则是银行柜台前的防弹玻璃和专职柜员，它不关心你是谁，只关心你递进来的“交易单据”（HTTP 请求）是否合法、有没有被篡改、是否存在欺诈意图。

## 特点

应用层专精：深度理解 HTTP/HTTPS 协议，能解析 Web 请求的每一个部分，这是其防御能力的基石。

针对 OWASP Top 10：核心目标是防御由 OWASP（开放 Web 应用安全计划）定义的十大最严重的 Web 应用安全风险，如注入、跨站脚本等。

逻辑业务保护：不仅能防御技术漏洞，还能在一定程度上防御业务逻辑漏洞，如薅羊毛、刷单、短信轰炸等。

SSL/TLS 终端：能够对加密的 HTTPS 流量进行解密，以便检查其明文内容，这是进行深度检测的前提。

## 功能

### **核心攻击防护**

SQL 注入防护：检测并阻断试图通过 Web 表单或参数向数据库发送恶意 SQL 代码的攻击。

跨站脚本（XSS）防护：检测并阻断攻击者将恶意脚本注入到其他用户会浏览的网页中的行为。

跨站请求伪造（CSRF）防护：识别并阻止攻击者欺骗用户在不知情的情况下提交恶意请求。

文件包含漏洞防护：防御本地文件包含和远程文件包含攻击。

命令注入防护：阻止攻击者通过 Web 应用在服务器上执行任意系统命令。

敏感信息泄露防护：检测响应报文中是否包含信用卡号、身份证号等敏感数据，并予以屏蔽。

### **API 安全防护**

随着现代应用架构的发展，现代 WAF 具备强大的 API 安全能力：

- API 发现与资产管理：自动发现并梳理环境中存在的 API 接口。
- API 滥用防护：防御针对 API 的批量调用、数据爬取、参数篡改等攻击。
- 数据格式解析：支持对 JSON、XML 等常见 API 数据格式进行深度检测。

### **恶意爬虫管理**

区分善意爬虫（如搜索引擎）和恶意爬虫（如内容爬取、撞库攻击），并对恶意爬虫进行验证码挑战或阻断。

### **虚拟补丁**

这是一个极其重要的功能。当 Web 应用被发现存在漏洞但暂时无法立即修复（打补丁）时，WAF 可以作为一个临时的“虚拟补丁”，在流量层面拦截针对该漏洞的攻击，为开发人员修复漏洞争取宝贵时间。

### **DDoS 缓解**

虽然专业抗 DDoS 设备能力更强，但 WAF 通常也具备应对应用层 DDoS 攻击（如 CC 攻击）的能力，通过人机识别、频率限制等手段保障 Web 服务的可用性。

### **访问控制**

基于 IP 地址、地理位置、用户代理等字段进行精细化的访问控制。

## **检测技术**

### **签名/规则检测**

原理：基于一个庞大的、已知攻击特征库（如 SQL 注入的特定模式、XSS 的常见标签）。当请求匹配到某条规则时，即被判定为攻击。

优点：对已知攻击准确率高、速度快。

缺点：无法防御未知攻击（零日），容易被绕过。

### **行为分析/异常检测**

原理：首先学习每个 Web 应用或用户的正常访问模式（如访问频率、参数类型、参数长度），建立行为基线。当请求显著偏离基线时，即被判定为异常。

优点：有可能发现新型攻击和未知威胁。

缺点：误报率较高，需要较长的学习期和持续的调优。

### **启发式分析**

原理：基于一系列预定义的规则或算法，判断一个请求的“恶意可能性”。例如，检测参数中是否包含过多的编码、是否包含敏感函数名等。

### **机器学习/AI 驱动**

现代高级 WAF 利用机器学习模型，自动化和优化特征提取与异常检测过程，能够更智能地识别复杂和伪装的攻击，并降低误报。

## **部署模式**

### **网络层 WAF（硬件/虚拟化设备）**

以物理或虚拟设备的形式部署在 Web 服务器前端，所有流量都先经过它。

优点：性能高，延迟低。

缺点：需要自身维护，成本较高。

### **基于主机的 WAF**

以软件模块（如 ModSecurity）的形式直接安装在 Web 服务器上。

优点：成本低，对网络架构无影响。

缺点：消耗服务器自身资源，管理和维护分散。

### **云 WAF（服务化）**

当前最流行的模式。通过更改 DNS 解析，将 Web 流量引流到云安全厂商的清洗中心，经过检测后再转发给源站。

优点：部署快捷（无需改动现有网络），零维护（由云厂商负责规则更新和扩展），弹性伸缩，天然具备抗 DDoS 能力。

缺点：所有流量需要经过第三方，对数据合规性有要求的场景需慎重考虑。

## **WAF 与 NGFW**

在现代安全体系中，WAF 和 NGFW 是互补而非替代的关系：

- NGFW：提供横向的、网络层面的通用防护，是所有流量的第一道关口。
- WAF：提供纵向的、深入到具体 Web 应用业务的专项防护。

一个典型的部署是：互联网流量先经过 NGFW，进行基础的访问控制和 IPS 检测；然后，流量中被识别为访问 Web 服务器的部分（80/443 端口），再被引导至 WAF 进行更深度的应用层检查。