什么是WEB应用程序防火墙？它的类型有哪些？

Web 应用防火墙(WAF) 帮助企业消除常见的网站攻击和破坏，保护网站正常运行时间和存储敏感信息的帐户。WAF 充当网站与所有HTTP和HTTPS流量之间的一道防线，检查进入网站的每个请求并观察互联网流量的趋势以确定来自攻击者的内容。许多安全供应商为企业提供 Web 应用程序防火墙，以将其作为设备、云或软件安装在其Web 服务器上。

什么是WEB应用程序防火墙？它的类型有哪些？-美联科技

跳到：

什么是 Web 应用程序防火墙？
比较最佳的 Web 应用程序防火墙解决方案

- 强化 WAF
- Cloudflare WAF
- 亚马逊网络服务 WAF
- 梭子鱼网络WAF
- Akamai Kona
- Fortinet FortiWeb
- WAF果汁

Web 应用程序防火墙的类型有哪些？
为什么 Web 应用程序防火墙很重要？
如何选择 WAF 解决方案

什么是 WEB 应用程序防火墙？

Web 应用程序防火墙是一种保护 Web 应用程序或网站的安全服务。Web 应用程序防火墙可用于许多不同的问题，包括管理 Web 服务流量、根据组织的预定义规则允许和阻止 HTTP 和 HTTPS 请求，有时还可以根据威胁情报做出实时决策。

WAF 软件还可以：

阻止常见的网站攻击
保护组织的 Web 服务器

Web 应用程序防火墙保护应用程序和站点免受的攻击类型包括：

分布式拒绝服务 (DDoS) 攻击，这会导致服务器停机，因为它们会向服务器发出不合理数量的 IP 请求
零日攻击，一旦威胁被公开，就会立即针对安全漏洞
SQL注入，利用不安全的代码访问数据库或主机等系统。
跨站脚本攻击，使用动态网页生成进入受限账户和编辑网站内容

比较最佳的 WEB 应用程序防火墙解决方案

以下七家 WAF 供应商提供 Web 应用程序防火墙解决方案，可阻止攻击并提供附加功能，例如可定制的策略或规则集、高级威胁监控或与第三方和其他供应商安全产品的集成。在尝试寻找适合您需求的 WAF 供应商时，请考虑以下提供的 WAF 解决方案。

因佩瓦

Imperva 的 Web 应用程序防火墙是提供商的 Web 应用程序和网络安全套件的一部分，通过基于云的内容交付网络(CDN) 交付。Imperva 的 CDN 不仅注重安全，而且高效：它减少了带宽消耗并加快了页面渲染速度。这使 WAF 能够更快地响应。CDN、DDoS 保护功能和 Web 应用程序防火墙都是 Web 应用程序和 API 保护 (WAAP) 平台的组成部分，Imperva 使用该平台来改进企业 Web 应用程序的缓存、负载平衡和安全性。

Imperva 的 WAF符合PCI标准，旨在保护第三方应用程序、API、微服务、容器、虚拟机等。它会提醒用户潜在的攻击，并且无需高级 HTTP 知识即可进行配置。

主要特征：

自动动态应用程序分析
DDoS 防护
PCI 合规性
Imperva 客户指出的高可靠性和稳定性

Cloudflare

Cloudflare 为企业和 SaaS 提供商提供 Web 应用程序防火墙。SaaS 解决方案还包括 SSL 证书、DDoS 缓解和机器人管理，这些组合可帮助企业保护其 Web 应用程序免受攻击。Cloudflare 是对于拥有多个云的企业来说，这是一个很好的解决方案，因为它的多云支持涵盖了负载均衡和 DNS 技术，适用于拥有多个云部署的企业。

Cloudflare 为前 10 个 OWASP（开放 Web 应用程序安全项目）漏洞提供OWASP覆盖。用户自定义规则集以阻止某些模式或类型的流量。Cloudflare 的 WAF 还监控流量以获取暴露的凭据，以防攻击者使用窃取的凭据访问站点。

主要特征：

防御零日攻击
可定制的规则集
OWASP 覆盖前 10 个漏洞
Cloudflare 检测到敏感数据时发出警报

亚马逊网络服务 WAF

AWS Web 应用程序防火墙通过监控发送到其内容交付网络 CloudFront 的 HTTP 和 HTTPS 请求来保护网站。用户指定 CloudFront 用于允许或阻止流量的规则。虽然 AWS WAF 与亚马逊的 CDN 集成，CloudFront 确实支持在其他地方托管的网站，因此用户不必通过 Amazon 托管网站即可使用防火墙。

什么是WEB应用程序防火墙？它的类型有哪些？-美联科技

AWS WAF 用户可以在多个部署之间进行选择，包括 Amazon API Gateway 和 Application Load Balancer。企业添加规则的成本越高，但 AWS 提供了各种可定制的规则选项，包括 OWASP 十大漏洞和机器人管理。

主要特征：

机器人管理
与 Amazon 的 CDN CloudFront 集成
按使用付费格式
OWASP 漏洞管理

梭子鱼网络WAF

梭子鱼网络为云环境提供Web应用防火墙；它保护托管在 Microsoft Azure 中的应用程序。防火墙属于梭子鱼的云应用程序保护平台，用于保护应用程序，使用自动化、访问控制和高级机器人保护。梭子鱼的 WAF 集成了多种服务，包括 Amazon CloudWatch 和 Microsoft Azure Sentinel。

梭子鱼的防火墙也可以作为服务使用；WAF-as-a-sService 保护 JSON 和 XML API。WAF 即服务也通过了 Azure 应用程序的认证。

主要特征：

高级机器人保护 (ABP) 功能
自动创建 API 规则集
WAF 即服务选项
与 Amazon CloudWatch 和 Azure Sentinel 集成

Akamai Kona

安全提供商 Akamai 提供 Web 应用程序防火墙 Kona Site Defender，可保护数据中心免受来自边缘的攻击。Akamai 拥有威胁情报根据出现的威胁和现有攻击编辑 WAF 规则的团队。Kona 属于其基于云的网络安全平台，该平台还提供 12 种其他解决方案。

Akamai 针对 SQLi 和跨站点脚本攻击采取措施。它在应用层控制中提供了预定义的规则，例如协议违规，但用户也可以配置这些规则。Akamai 监控警报和有关触发警报或防火墙响应的操作的更详细数据。Akamai 还提供 IP 白名单和黑名单以及地理封锁。用户可以对基于数量的攻击应用速率控制。

主要特征：

基于容量的攻击的速率控制
防止 SQL 注入和跨站点脚本
深度警报监控和有关安全威胁的详细数据
预定义但可配置的规则

Fortinet FortiWeb

Fortinet 的 Web 应用程序防火墙可用于多种部署：

硬件设备
虚拟机
公共云
集装箱电器
软件即服务

其虚拟机部署提供多种虚拟环境，包括 VMWare 和 Microsoft Hyper-V，并支持三大公有云提供商以及 Oracle。

Fortinet 的 SaaS WAF 是基于云的，可在应用层保护 Web 应用免受常见攻击和 OWASP 十大漏洞。SaaS 版本还使用来自 Fortinet 的 FortiGuard 实验室的服务，例如沙盒和为 Web 应用程序流量提供 IP 信誉管理。IP 信誉管理服务从多个来源收集 IP 数据，阻止已知的恶意模式。它与 Fortinet 的反僵尸网络安全配合使用并阻止恶意僵尸网络源。

主要特征：

多种部署选项
基于云的 SaaS 防火墙，带有额外的 FortiGuard 服务
IP声誉和反僵尸网络安全服务
与 AWS、HPE、Nutanix 和 Oracle 等多种 IT 服务集成

果汁

Sucuri 的 Web 应用防火墙属于其 Web 安全平台，其中还包括一个入侵防御系统。Sucuri 保护网站免受零日攻击和三层不同的 DDoS 攻击。它的安全软件更新补丁和服务器规则，以防止黑客利用最近发现的弱点。

Sucuri 为网络和系统管理员提供了 IP 地址的许可名单，因此它们不会被阻止攻击者的技术阻止。用户还可以选择为某些网页选择额外的保护，例如验证码或双因素身份验证选项。Sucuri 支持对每个站点进行单独的应用程序分析，根据适合应用程序配置文件的内容分析请求。

主要特征：

快速修补和服务器规则更新
应用于网页的附加保护
系统管理员的 IP 地址白名单
对提供大量攻击的国家进行地理封锁

WEB 应用程序防火墙的类型有哪些？

三种主要的 Web 应用程序防火墙类型在成本和部署方面各不相同。

网络设备WAF

网络设备 WAF 是本地安装的硬件，用于保护本地 Web 应用程序托管。网络设备防火墙可以由办公室或本地数据中心的管理员直接管理。它们的维护成本也很高，并且组织负责所有硬件维护。

云托管的 WAF

云托管的 Web 应用程序防火墙可以是混合部署或纯云部署。如果它们完全是云，则提供商负责管理硬件和网络，从而减轻企业的任何管理负担。云托管的 WAF 非常适合没有空间或资源来安装本地 WAF 的企业。

基于主机的WAF

基于主机的 Web 应用程序防火墙作为软件安装在服务器或计算机上，并使用该 Web 服务器的资源来运行。基于主机的 WAF 与其他防火墙不同，因为它们安装在设备上而不是网络层。但是，某些攻击不需要通过基于主机的防火墙，然后可能会穿过屏障。

为什么 WEB 应用程序防火墙很重要？

Web 应用程序防火墙专用于保护网站和 Web 服务器免受常规攻击，这些攻击可能会耗费企业资金和敏感数据。Web 应用程序防火墙阻止常见的基于 Web 的攻击，这些攻击可能导致数据被盗、站点停机和财务损失。

WAF 软件还有：

增加保持站点和服务器正常运行的可能性，因为流量基于预定义的策略和自动更新的攻击签名受到限制。网站通常是企业收入的主要来源——所有在线购买和帐户会话都是通过该网站完成的。
捕获运行脚本中的问题，这些脚本旨在看起来像无辜的互联网流量
通过访问经常更新的恶意代码记录并定期扫描流量以查找奇怪的签名或其他异常情况来阻止恶意机器人攻击

如何选择 WAF 解决方案

如果您的企业正在考虑实施 Web 应用程序防火墙，请考虑以下问题：

防火墙是否经常更新恶意签名，将它们添加到已知可疑代码的列表或数据库中，并在短时间内阻止新的？由于攻击者有时会利用最近发现的漏洞，因此拥有能够快速为这些攻击做好准备的 WAF 可以减少站点违规的数量。
WAF 部署类型是否适合您的业务？如果您需要密切配置防火墙的所有方面并拥有本地硬件，那么网络设备防火墙可能是您组织的正确选择。但是，如果您想花更少的钱并且没有现场资源，那么基于云的防火墙将减轻您必须做的 IT 配置。
防火墙的集成是什么样的？它是否适用于其他安全平台？另一个考虑因素是您想一次实施多少个安全解决方案；供应商是否提供多个协同工作的应用程序安全解决方案？