在一个每天都会出现新的网络攻击并出现的世界中，我们必须不断寻找和建立新的安全控制和保护机制。目前发现的最常见的网络安全威胁通常涉及数据泄露并且发生在应用程序级别，这就是许多系统无法抵御此类攻击的原因。因此，WEB 应用防火墙变的极其重要！那么什么是Web应用防火墙呢？为什么能起到这么关键的作用？

为什么Web应用防火墙这么重要？

一、Web应用攻击形势严峻

1.网站被篡改

网站被篡改数量日益增多，根据CNCERT发布的《2017年中国互联网网络安全报告》显示，2016年，我国境内被篡改的网站数量为2万个，其中政府网站被篡改数量为618个；而网站被篡改不仅会使网站蒙受损失，同时还影响政企公开社会形象。

2.网站敏感信息泄露

网站敏感信息泄露事件频发，如2018年6月，ACFUN上千万用户数据遭泄露，用户名、密码等信息无一逃脱。而由于敏感信息泄露引发的侵权、欺诈等非法行为，不仅会造成被窃取用户的个人利益损失，也会造成企业的经济损失。

3.网站挂马

根据CNCERT监测发现，2017年约7.9万个网站被挂马，其中政府网站有2361个，境外有约3.3万个IP地址通过向网站植入后门对境内6.8万个网站进行远程控制。

二、漏洞频发修复成本高

随着漏洞挖掘技术的不断发展，攻击工具日益专业化、易用化，一些被广泛使用的基础组件的漏洞爆发频率越来越高，如weblogic命令执行漏洞、Struts2的远程任意代码执行漏洞等，影响范围广、修复成本高。

三、国家立法安全政策

国家不断开展信息安全工作，对信息安全重视程度达到前所未有的高度。
2014年，中央网络安全和信息化领导小组第一次会议提出“没有网络安全就没有国家安全”；
2015年11月，工商总局印发《关于加强网络市场监管的意见》，全面加强网络市场监管，推进“依法管网”、“以网管网”、“信用管网”和“协同管网”；
2016年上半年，经中央网络安全和信息化领导小组同意，中央网信办、教育部、工信部、公安部、新闻出版广电总局、共青团中央等六部门联合印发了《国家网络安全宣传周活动方案》。方案明确从今年开始，网络安全宣传周于每年9月第三周在全国各省区市统一举行；
2017年6月1日，我国《网络安全法》正式实施等等

四、传统防护方式存在瓶颈

传统防御WEB应用攻击的方法是购买WAF硬件设备，这种方法虽然能一定程度上缓解攻击，但是存在以下瓶颈：

1.部署配置复杂：本地化部署涉及本地网络拓扑变更，且变更过程中存在业务中断风险。

2.WAF硬件性能有限：当有网站业务流量较大时，硬件WAF性能将会成为瓶颈，影响正常用户的访问性能。

3.可用性差：机器的使用寿命有限，硬件WAF若发生故障，会导致防护失效，由于其部署方式的特点，还会导致网站业务中断。

4.误拦截率较高：硬件WAF基于规则防护，对所有的域名和业务采用相同的防护策略，这种“一刀切”的方法导致误拦率较高。

5.大数据联动能力弱：防护过程中产生的数据无法进行有效分析，和云端攻击样本形成联动，缺乏数据的积累，导致硬件WAF对攻击威胁的感知较弱。

说了这么多，那么到底什么是Web应用防火墙

Web应用防火墙（Web Application Firewall，简称WAF），依托全球部署的云安全节点联接形成云安全网络，结合云端大数据分析平台，提供OWASP Top10(SQL注入、XSS跨站脚本、常见Web服务器漏洞、非授权核心资源访问等)、网站扫描、网站挂马等各类常见Web应用攻击的防护，同时，能够基于主动防御引擎及时发现0 Day攻击并防护，避免用户网站被篡改、敏感数据泄露，从而保障网站安全。

主要的功能在于：

①Web应用攻击防护：Web应用防火墙（WAF）有效防护OWASP Top10：SQL 注入、XSS 跨站脚本、Webshell上传、反序列化漏洞、XXE攻击等Web应用攻击。最新0day漏洞防御，提供“高效虚拟补丁”快速“修复”漏洞，保障业务的持续性。

②定制化防护策略：安全专家协助定制防护策略、用户根据业务特性灵活自定义防护策略。

③攻击威胁情报：威胁情报库可以与WAF联动防护，实现CDN全网、同行业共享威胁情报，及时感知威胁。

④攻击监控告警：Web应用防火墙多维度全方位的监控报警服务，包括攻击监控报警、安全预警，第一时间掌握网站各种异常情况。

⑤防护可视化数据：详细的防护日志查询，可实时展示Web攻击信息（如攻击趋势、攻击详情、攻击类型、攻击来源等）和拦截情况。

并且拥有四大优势：

1.高可靠性，高性能：Web应用防火墙（WAF）基于海量防护资源，防护能力按需弹性伸缩；全球负载，避免单点故障，保障网站运营高可靠。

2.双引擎智能防护：WAF智能规则引擎防护已知攻击，AI引擎防护新型攻击；双引擎防护Web攻击无死角。

3.灵活自定义防护策略：Web应用防火墙（WAF）兼容多种防护策略在实际业务中的适用，支持结合自身业务特点自定义防护策略。

4.零部署、零改造、零运维：一键接入WAF，快速开通服务，7*24小时全程专业的安全服务。

除此之外，WAF提供对常见各类Web应用攻击的防护，主要包含以下几类：

一、HTTP请求合规检测

黑客常常发送不符合HTTP协议规范的请求，绕过网站的防护策略实施攻击。

二、注入类攻击防护

注入类攻击主要包括SQL注入、命令注入、XPATH注入、LDAP注入、SSI注入等。注入类攻击是利用Web应用程序对请求输入数据过滤不严的弱点，对不同的目标进行攻击的手段。如SQL注入攻击是利用Web应用程序对涉及数据库操作的输入数据过滤不严的漏洞，将恶意的SQL命令注入到后台数据库引擎执行，达到窃取、控制数据甚至控制数据库服务器的目的。

三、跨站脚本类攻击防护

跨站脚本类攻击主要包括：XSS（跨站脚本攻击）、CSRF(跨站请求伪造)。

1.XSS跨站脚本攻击，是指恶意攻击者利用Web应用程序对需要输出到网站页面中的用户输入过滤不严的问题，向网站返回的页面中插入自己的代码，达到修改响应页面内容、窃取用户Cookie等目的。

2.CSRF跨站请求伪造，是指恶意攻击者让用户在不知情的情况下点击攻击者构造的恶意链接，以合法用户的名义发送恶意请求，完成了攻击者所期望的一个操作。例如，用户已登录某银行，同时又在另一个网站点击了非法者构造的图片（点击该图片则触发执行某银行转账的操作），该用户即在不知情的情况下自动完成被攻击的过程。

四、扫描类攻击防护

扫描类攻击主要包括“扫描器扫描”和“恶意爬虫”两类。黑客攻击网站的第一步经常是通过利用爬虫或扫描工具，获取网站信息，探测网站存在的漏洞。

五、webshell防护

网站挂马主要指攻击者在利用漏洞获取网站服务器权限后，在网站上安装攻击者自己的程序，以便后续的攻击过程中可通过这个程序实现对网站的控制及管理。WAF能够阻止后门木马被上传，以及阻断已上传后门木马被利用。

六、授权和认证类攻击防护

Web应用的权限划分及其实现往往存在疏忽和缺漏，留给黑客可乘之机。黑客可以使用精心构造的请求绕过网站的权限控制，获取用户或者网站管理的权限，并以此为基础进行进一步的攻击。这类的攻击主要包括Cookie安全、会话固定、会话劫持、目录遍历等几类。

1.Cookie篡改及盗用：攻击者通过修改Cookie获得用户未授权信息，进而盗用身份的过程。

2.会话固定攻击：攻击者利用服务器的Session不变机制，诱导受害者使用攻击者指定的会话标识，从而获取合法会话标识的过程。

3.会话劫持：攻击者通过获取用户会话标识后，伪装成合法用户登陆目标账号进行攻击。

4.目录遍历：攻击者通过在URL或者参数中构造“…/”等，完成目录跳转，来获取服务器上本不可访问的文件访问权限。

七、Web框架类攻击防护

Web框架类攻击主要是指针对常见的CMS建站系统和开源Web应用开发组件的攻击。由于这些建设系统或开源组件被广泛应用在各类网站的开发建设中，一旦被曝出漏洞且没有提前采取防护措施，后果将不堪设想。

八、敏感信息泄露防护

攻击者会通过各种方式去窃取网站的敏感信息，一方面是窃取站点内容的敏感信息并加以利用，如密码、配置、备份、数据库等；另一方面是获取站点异常的敏感信息并加以利用，如攻击者可构造错误的数据库语句使得站点返回数据库错误信息，根据错误信息提示获取到站点所使用的数据库软件以及对应版本等信息，便可以利用该版本数据库存在的漏洞进行攻击。

也可以了解下专属的特色功能：

1.威胁情报

威胁情报库可以与WAF联动防护，实现CDN全网共享威胁情报，共享同行业威胁情报，及时感知威胁。

2.恶意广告检测与拦截

针对网站被插入恶意广告，对客户端侧的内容劫持、插入广告的行为进行检测，检测到广告时移除广告链接而正常的内容则响应给客户端面，以保护内容安全。

3.防撞库

针对用户网站被黑客使用第三方网站泄露的数据来暴力猜解网站的用户登入口令进行防护，waf可以根据用户的访问行为鉴别撞库行为，并结合海量的“社工库”精准地防护撞库攻击。

4.源站webshell监测与防护

针对已被入侵的网站，WAF可以通过大数据分析结合行为建模的方式精准地识别黑客留在源站webshell。

5.js挖矿防护

检测用户网站是否被挂coinhive的js挖矿脚本，当waf检测到coinhive 的js挖矿脚本时会将已经运行的coinhive的js挖矿脚本关闭。

6.敏感信息保护

对网站的订单号、身份证号、手机号等进行脱敏，以保护网站用户的数据安全。

7.敏感词监测

定时检测网站是否存在博彩类、暴恐类、政治类等的敏感关键词，发现关键词时及时以短信或邮件的方式发送告警给客户。

8.网站精准访问控制

针对用户对某些IP或URL访问控制的特殊需求，WAF支持基于IP和URL的双重访问控制策略，即IP黑/白名单和URL黑/白名单。

为什么Web应用防火墙这么重要？为什么能起到这么关键的作用？我们来看下Web应用防火墙对于政企、金融、电商以及航空行业的意义：

对于政企行业：门户网站作为政府、企业提供给互联网用户获取信息服务的重要渠道，将面临网页被篡改、网页挂马、SQL注入攻击等多种安全问题，同时也面临上级单位和测评机构的安全检测的压力。一旦发生安全事件，将严重影响其形象和公信力。

对于金融行业：金融行业面临注入、跨站等多种安全问题，导致用户账号密码泄露，危及用户资金财产安全，进而严重影响企业的形象并承受经济损失。

对于电商行业：电商行业为Web应用攻击的重点对象，经常遭受黑客攻击，譬如非法篡改交易数据、盗取用户个人账号信息进行网络诈骗等，不仅危害了用户的个人利益，同时也严重影响了商家的形象。

对于航空行业：航空行业、互联网售票平台等都拥有大量的旅客个人信息以及出行/未出行行程信息，而这些信息经过黑色产业链，最终形成了退改签等诈骗活动，不仅危害了旅客的个人利益，也给各平台造成了经济损失。

总之，Web应用防火墙是网络安全领域的重要组成部分。它以其强大的安全防护能力、高效的过滤机制和精细的访问控制策略，为用户的数字资产提供了坚实的保障。在数字化时代，随着网络攻击的不断升级和复杂化，Web应用防火墙的重要性将愈发凸显。因此，企业和个人都应加强对Web应用防火墙的认识和应用，共同构建安全、稳定的网络环境。