Web Security & WAF All In One
Web Security & WAF All In One
Web Application Firewall (
WAF
)
什么是 WAF ?
WAF(Web Application Firewall
) 在 Web 应用程序
与 Internet
之间创建防火墙
;此类防火墙有助于缓解
很多常见攻击
。
WAF(Web 应用程序防火墙)通过过滤
和监控
Web 应用程序与互联网之间的 HTTP 流量
来帮助保护 Web 应用程序。
它通常可以保护 Web 应用程序,使其免受跨站点伪造
、跨站点脚本
(XSS)、文件包含、SQL 注入
及其他一些攻击的影响。
WAF 属于协议第 7 层
防御策略(OSI 模型
中),并不能
抵御所有类型的攻击。
此攻击缓解方法
通常隶属于一套工具
,整套工具共同针对一系列
攻击手段建立整体
防御措施。
通过在 Web 应用程序前端部署 WAF,可在 Web 应用程序与 Internet 之间形成一道屏障
。
虽然代理服务器通过中介
保护客户机的身份,但 WAF 是一种反向代理
,引导客户端通过 WAF 到达服务器,从而防止暴露
服务器。
WAF 通过一组通常称为“政策
”的规则进行运作。
这些政策旨在过滤恶意流量
,防止受到应用程序漏洞
的侵害。
WAF 的部分价值在于可以快速简便地修改政策
,因而可以更迅速地响应
不同的攻击手段。
在 DDoS 攻击期间,可通过修改 WAF 政策快速实施速率限制
。
黑名单与白名单 WAF 之间有什么区别?
基于黑名单(消极安全模型)运行的 WAF 可防范已知攻击。您可以将黑名单 WAF 想象为俱乐部保镖按指示拒绝接待不符合着装要求的客人。相反,基于白名单(积极安全模型)的 WAF 仅允许接受预先批准的流量。类似于奢华派对保镖,只接待出席名单列出的客人。无论黑名单还是白名单,二者都有各自的优缺点,因此很多 WAF 提供混合安全模型,综合实施两种方法。
什么是基于网络、基于主机和基于云的 WAF?
WAF 可以通过三种不同的方式来实施,每种方式都有各自的优缺点:
基于网络的 WAF 通常基于硬件。由于采用本地安装模式,因而可以最大限度地缩短延迟,但基于网络的 WAF 费用最昂贵,而且还要安装和维护物理设备。
基于主机的 WAF 可完全集成至应用程序软件。这种解决方案的成本低于基于网络的 WAF,而且还能提供更多定制功能。基于主机的 WAF 的缺点在于,占用本地服务器资源,实施起来复杂,而且还会产生维护成本。这些组件通常需要预留维护时间,可能成本较高。
基于云的 WAF 是一种极易实施的经济型方案;通常提供一站式安装服务,就像更改 DNS 来重定向流量一样简单。另外,基于云的 WAF 的前期成本最低,因为用户按月或按年支付安全即服务费用。基于云的 WAF 还可以提供持续更新解决方案以抵御最新威胁,用户无需额外开展工作或投入成本。基于云的 WAF 的缺点在于,用户将责任转嫁给第三方,因此对他们而言,WAF 的某些功能可能成为黑盒。(基于云的 WAF 是一种云防火墙类型;了解有关云防火墙的更多信息。)
了解 Cloudflare 基于云的 WAF 解决方案。
refs
https://www.cloudflare.com/zh-cn/learning/ddos/glossary/web-application-firewall-waf/
©xgqfrms 2012-2021
www.cnblogs.com/xgqfrms 发布文章使用:只允许注册用户才可以访问!
原创文章,版权所有©️xgqfrms, 禁止转载 🈲️,侵权必究⚠️!
本文首发于博客园,作者:xgqfrms,原文链接:https://www.cnblogs.com/xgqfrms/p/17213451.html
未经授权禁止转载,违者必究!
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· DeepSeek “源神”启动!「GitHub 热点速览」
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· DeepSeek R1 简明指南:架构、训练、本地部署及硬件要求
· NetPad:一个.NET开源、跨平台的C#编辑器
2022-03-14 GitLab CI/CD All In One
2022-03-14 Google Calendar API All In One
2022-03-14 2022 个人所得税-综合所得年度汇算 All In One
2021-03-14 MIT OpenCourseWare All In One
2020-03-14 React Hooks & Context API All In One
2019-03-14 link & auto cards
2019-03-14 chart.js & canvas