把世界分为墙内和墙外的WAF|云安全5期

生活在大中华局域网，大家对什么是“墙”都或多或少有了解，为了查资料，“翻-墙”的事估计也没少干。

这个墙是什么？其实就是大名鼎鼎的防火墙。

几乎每个公司都会在内网和外网之间竖起一道防火墙，通过设定规则，让外网不能访问内网，而内网则有限制地访问外网，只有少数被允许的网站可以直接访问。这样做，一来可以保护公司网络不被恶意攻击，保护内网的资产和信息；二来，减少员工上班逛淘宝看新闻的时间，聚焦工作，艰苦奋斗。

防火墙的原理是什么呢？其实很简单，防火墙相当于中转器，对来自内网的每个请求，都会进行中转，中转的时候进行检查，符合要求就放行，访问成功；否则就进行拦截，显示网站不存在。

华为云web应用防（WAF）火墙也是防火墙中的一种，只是主要聚焦网站应用的防护，其原理就一句话：分析HTTP/HTTPS请求，按规则检测这个请求是否符合要求，符合，放行；不符合，拦截。

使用WAF时，把要保护的域名或IP解析到提供给WAF（一般是通过CNAME纪录），WAF即开始保护域名或IP对应的服务器。这时，网站所有的公网流量都会先经过WAF，恶意攻击流量在WAF上被检测过滤，而正常流量返回给受保护的域名或IP对应的服务器。

WAF主要由以下模块组成：配置模块、协议解析模块、规则模块、动作模块、日志模块模块。

一、配置模块：设置WAF的检测和防御规则，什么时候该放行，什么时候该拦截等。

二、协议解析模块：打开网站访问使用的HTTP/HTTPS协议的数据包，就像机场安检的物品扫描和分类，这个是打火机，那个是香水，从这里分别送往下一个模块进行检测。

三、规则模块：这是WAF的核心，在这里，WAF要把从协议解析模块送来的物品按规则进行比对，判断一个访问的好坏，比如来了一瓶香水，要判断有没有超过100毫升，进行标记。这个模块又可细分为三个子模块：

1、规则配置模块：配置合适网站的检测规则，如IP黑白名单等；

2、规则解析模块：主要用以解析具体的规则文件，规则文件里是程序猿设置的各类安全规则，还有IP库、网站指纹库等等；

3、规则检测模块：把网站请求打开来看，是否符合检测规则的要求。

四、动作模块：通过规则模块，识别了请求的好坏，接下来就是做出响应，比如送过来一瓶香水，90毫升，放行；110毫升，拦截。现实里则是拦截访问，或者跳出验证码输入正确再放行，或者把请求导到其他网站上去，根据用户配置不同、规则不同、业务的不同而会采取不同动作。

五、日志模块：把防护和拦截的过程都记录下来形成日志。

通过以上模块的组合，华为云WAF能够对网站业务流量进行多维度检测，防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权访问等OWASP常见攻击，并过滤恶意的大流量攻击，避免网站资产数据泄露，保障网站安全稳定。

通过上面的介绍，大家也可以知道，一个WAF好不好，核心是下述三点：

一、规则够不够多，当然是越多越好，规则越多，可能防御的恶意攻击就越多；

二、判断够不够准，不能拦截正常访问，放行恶意访问；

三、配置够不够灵活，世界上没有完全相同的两片叶子，也没有完全相同的两个网站，每个网站都需要根据自己的业务特点来设置防御规则，因此提供的配置项越灵活越好。

对应上述三点，华为云WAF有丰富的规则库；通过语义理解+规则库+AI来提升准确度；提供丰富的配置项供用户自己定义防御规则。

总之，WAF能够抵挡绝大部分针对网站的攻击，是网站安全防护必备的良药。

看完了忍不住想买？请点击链接。