waf和防火牆的區別

WAF與常規防火牆的區別在於，WAF能夠過濾特定Web應用程序的內容，而常規防火牆則充當服務器之間的安全門。透過檢查HTTP流量，可以防止源自Web應用程序安全漏洞的攻擊，例如SQL注入、跨站點腳本，檔案包含和安全性錯誤配置。

WAF的出現是由於傳統防火牆無法對應用層的攻擊進行有效抵抗，並且IPS也無法從根本上防護應用層的攻擊。因此出現了保護Web應用安全的Web應用防火牆系統(簡稱“WAF”)。WAF是一種基礎的安全保護模組，透過特徵提取和分塊檢索技術進行特徵匹配，主要針對 HTTP 訪問的Web 程序保護。WAF部署在Web應用程序前面，在用戶請求到達 Web 服務器前對用戶請求進行掃描和過濾，分析並校驗每個用戶請求的網絡包，確保每個用戶請求有效且安全，對無效或有攻擊行爲的請求進行阻斷或隔離。WAF主要提供對Web應用層數據的解析，對不同的編碼方式做強制多重轉換還原爲攻擊明文，把變形後的字元組合後再分析，能夠較好的抵禦來自Web層的組合攻擊主要抵禦算法爲基於上下文的語義分析。

Web防火牆，主要是對Web特有入侵方式的加強防護，如DDOS防護、SQL注入、XML注入、XSS等。由於是應用層而非網絡層的入侵，從技術角度都應該稱爲Web IPS，而不是Web防火牆。這裏之所以叫做Web防火牆，是因爲大家比較好理解，業界流行的稱呼而已。由於重點是防SQL注入，也有人稱爲SQL防火牆。Web防火牆產品部署在Web服務器的前面，串行接入，不僅在硬件性能上要求高，而且不能影響Web服務，所以HA功能、Bypass功能都是必須的，而且還要與負載均衡、Web Cache等Web服務器前的常見的產品協調部署。