什么是Web应用程序防火墙？

Web应用程序防火墙/WAF简介

Web应用程序防火墙（WAF）为来自恶意安全攻击（例如SQL注入，跨站点脚本（XSS））的在线服务提供Web安全。 WAF安全性可以检测并过滤掉可能会使在线应用程序降级，损害或使在线应用程序遭受拒绝服务（DoS）攻击的威胁。 WAF安全性会在HTTP流量到达应用程序服务器之前对其进行检查。它们还可以防止未经授权从服务器传输数据。

近年来，Web应用程序安全性变得越来越重要，尤其是在Verizon Data Breach调查报告中将Web应用程序攻击列为最常见的破坏原因之后。 WAF已成为Web应用程序安全性的重要组成部分，并在提供为每个应用程序自定义安全规则的能力的同时，防范Web应用程序漏洞。由于WAF与流量一致，因此某些功能可以由负载均衡器方便地实现。

根据PCI安全标准委员会的说法，WAF充当“位于Web应用程序和客户端端点之间的安全策略实施点。该功能可以用软件或硬件，在设备设备中运行或在运行通用操作系统的典型服务器中实现。它可以是独立设备，也可以集成到其他网络组件中。”

Web应用程序防火墙如何工作的

WAF可以内置到硬件设备，服务器端软件插件中，或作为服务过滤流量。 WAF安全性可保护Web应用程序免受恶意端点的侵害，并且与代理服务器（即反向代理）的本质相反，后者可保护设备免受恶意应用程序的侵害。

为了确保安全，WAF拦截并检查所有HTTP请求。伪造的流量只是通过旨在破坏有害机器人程序和计算机程序的CAPTCHA测试进行阻止或测试。

WAF管理的细则是基于建立在自定义策略上的安全过程的，这些过程应解决开放Web应用程序安全性项目（OWASP）列出的顶级Web应用程序安全性漏洞。

传统上，这些策略可能很复杂，需要专门的管理员根据公司的安全策略配置WAF。这些管理员负责正确放置，配置，管理和监视WAF，以确保最大的安全性。

WAF对攻击的阻止

WAF安全性可以防止许多攻击，包括：

跨站点脚本（XSS）—攻击者将客户端脚本注入到其他用户查看的网页中。
SQL注入—恶意代码被插入或注入到Web输入字段中，从而使攻击者可以破坏应用程序和基础系统。
Cookie中毒—修改Cookie，以获取有关用户的未经授权的信息，以用于身份盗用等目的。
未经验证的输入-攻击者篡改HTTP请求（包括url，标头和表单字段）以绕过站点的安全机制。
第7层DoS — HTTP泛洪攻击，在典型的URL数据检索中利用有效请求。
Web抓取—用于从网站提取数据的数据抓取。

云WAF

云WAF（也称为基于云的WAF或云原生WAF）以比传统的基于设备的Web应用防火墙低得多的成本提供了现代Web应用安全性，同时提供了一些明显的优势。基于云的WAF服务基于预定义的安全策略提供了响应更快，更具弹性和可自定义的应用程序安全选项，这些安全策略可以自动缩放并响应每个应用程序或租户的威胁。

此类云WAF服务的自定义和灵活性使管理员免于耗时的手动调优其系统上的安全软件或硬件，允许进行主动而不是响应的威胁检测，实现实时应用安全洞察和可见性并确保合规性（GDPR ，HIPAA和PCI），同时提供跨多云，混合云或本地应用程序环境的集中式应用程序安全性。

Web应用程序防火墙部署

反向代理

WAF是应用程序服务器的代理。因此，指向设备的流量直接进入WAF。

透明反向代理

具有透明模式的反向代理。结果是WAF分别将经过过滤的流量发送到Web应用程序。这样可以通过隐藏应用程序服务器的地址进行IP屏蔽。性能延迟是在此过程中的潜在缺点。

透明桥

利用透明桥，HTTP流量直接进入Web应用程序。结果是使WAF在设备和服务器之间透明。

WAF安全模型

WAF可以遵循肯定的安全模型，否定的安全模型或两者的组合。肯定的安全模型WAF（也称为“白名单”）拒绝所有未命名为允许的内容。否定安全模型（也称为“拒绝列表”）具有禁止项目的列表，并允许该列表中未包含的所有内容。

正负WAF安全模型在不同的应用程序安全方案中各有千秋。例如：

积极安全模型
在执行输入验证时，肯定模型指示您指定允许的输入，而不是尝试滤除不良输入。使用肯定的安全模型防火墙的好处是可以防止开发人员无法预期的新攻击。
消极安全模型
否定模型更易于实现，但是您将永远无法确定自己已经解决了所有问题。最后，您还会得到一长串否定签名，以阻止必须维护的否定签名。消极安全模型方法最初允许所有流量通过，尽管随着实施附加限制，安全性也得到了改善。此方法可以为不断进行新网络更改的部门节省时间，因此不会继续阻塞网络。

WAF规则

WAF遵循针对特定漏洞定制的规则或策略。在传统的WAF上创建规则可能很复杂，需要专家管理。开放式Web应用程序安全项目（OWASP）维护了WAF策略要解决的主要Web应用程序安全漏洞的列表。

通过提供对符合安全规则的流量的可见性，WAF安全解决了应用程序安全团队最常见的痛点。

OWASP（开放式Web应用程序安全性项目）

什么是OWASP？ OWASP代表Open Web Application Security Project，它是OWASP™Foundation的一项计划，该基金会于2001年成立，是一个非营利性组织，旨在帮助组织构想，开发，获取，操作和维护可信任的应用程序。根据他们的网站：

“我们的使命是使软件安全可见，以便个人和组织能够做出明智的决定。 OWASP处于独特的位置，可以为全球的个人，公司，大学，政府机构和其他组织提供有关AppSec的公正，实用的信息。 OWASP是一个由志同道合的专业人员组成的社区，它发布有关应用程序安全性的软件工具和基于知识的文档。”

OWASP是一个国际组织，允许最终目的是改善应用程序安全性或开发任何新型WAF安全设备的任何人使用其工具，论坛，代码和其他文档。 OWASP不隶属于任何技术公司，它们支持对商业应用程序安全技术的知情使用。与许多开源安全软件项目相似，OWASP以协作和开源的方式生成不同类型的材料。他们的资源和会议提供了Web应用程序防火墙培训以及最佳实践和源代码。

Web应用程序防火墙的优势与劣势

Web应用程序防火墙的好处

WAF安全性可防止尝试利用基于Web的应用程序中的漏洞的攻击。在遗留应用程序或编码或设计不佳的应用程序中，漏洞可能很常见。 WAF使用自定义规则或策略来处理代码缺陷。

WAF提供针对各种威胁的保护，包括以下内容：

SQL注入，注释垃圾邮件
跨站点脚本（XSS）
分布式拒绝服务（DDoS）攻击
特定于应用程序的攻击

其他好处包括：

强大的默认规则集
定制的第7层保护
与DDoS缓解集成
实时报告和日志记录，即时可见

顶级的Web应用程序防火墙使用应用程序智能来提供高级WAF功能，例如实时了解应用程序流量，性能，安全性和威胁状况。这种可见性使管理员可以灵活地响应最复杂的攻击。

当开放式Web应用程序安全项目（OWASP）识别出最常见的漏洞之外，WAF允许管理员创建自定义安全规则列表来对抗潜在的攻击方法。智能WAF会分析与特定交互匹配的安全规则，并随着攻击模式的演变提供实时视图。基于此能力，WAF可以减少误报。这些功能虽然有助于Web应用程序防火墙的好处，但仍有一些不足之处需要注意。

Web应用程序防火墙弱点

WAF位于用户和应用程序之间。因此，任何延迟或延迟都会影响最终用户的体验。由于对请求和响应的检查需要大量计算，因此WAF确实会带来流量延迟。延迟的程度以及最终用户是否可以忍受，取决于WAF的性能，策略复杂性和使用的应用程序。这可能会使组织处于不利的境地：过度配置WAF，以确保产生最小的影响，而这会带来更高的成本；或将安全策略设置为最小以减少检查时间，这会损害安全性。

考虑到需要建立有效的策略，WAF的部署也可能很复杂。当应用程序具有添加或更新时，它们还需要定期维护。

已知的Web应用程序防火墙漏洞

由于WAF严重依赖于配置安全规则和策略来防御跨站点脚本（XSS），跨站点请求伪造（CSRF）和SQL注入，因此WAF需要积极地维护和正确配置，而不是仅配置一次并期望已满保护。

WAF经常遭受过于严格的误报（阻止无害流量）和消极误报（允许有害流量），因为受用户需求的变化，受WAF安全保护的应用程序会不断变化，因此随着时间的流逝需要不同的流量规则。此外，由于使用WAF时会导致Web应用程序完全安全，因此会导致数据泄露，从而暴露公司和用户数据，因此人们常常忽略安全协议，而未采取代码和基础结构审核之类的预防措施。

在开发新的数字工具（包括云WAF）期间会出现新的WAF漏洞，因此，尽管已解决了许多安全漏洞，但始终会出现新的WAF漏洞。这使得基于第三方云的专业WAF供应商提供和维护复杂的安全规则变得更加重要。

智能Web应用程序防火墙

----只需点击即可实现简单性和网络规模的性能
传统的Web应用程序安全解决方案不提供管理员可以用来创建有效的应用程序安全状态的可见性和安全性。企业需要实时了解应用程序流量，用户体验，安全性和威胁状况以及应用程序性能，以识别并防御最复杂的攻击。而传统的基于设备的Web应用程序防火墙（WAF）解决方案未利用其在应用程序流量路径中的特权地位，并且在传递应用程序可见性时是黑匣子。基于智能可学习的Web应用程序安全解决方案才是今天和以后的方向。

WAF功能

Web应用程序防火墙是抵御威胁企业完整性的复杂攻击的第一道防线。最有效的解决方案提供以下WAF功能：

输入保护-广泛的应用程序分析可检测到可接受的用户输入
HTTP验证-检测HTTP安全漏洞并设置自定义验证规则以阻止攻击
数据泄漏防护–预警数据泄漏检测系统检测易受攻击的安全配置，并识别，过滤和屏蔽私有数据
自动化的攻击阻止-自动化工具采取主动对策，以保护您的网络免受恶意流量的侵害
为广泛使用的应用程序量身定制的策略-定制的WAF网络安全策略针对您的应用程序特有的漏洞，提供实时洞察力
对流量的细粒度安全性见解-提供对应用程序流量，性能，安全性和威胁态势的访问
单击策略配置，可针对每个应用程序进行自定义-高级WAF为简单的策略管理提供了集中的，可扩展的安全解决方案
集中式，可扩展的策略管理-集中式管理使管理员可以从单个控制台管理具有不同配置的任意数量的Web应用程序防火墙，并且尽管具有整体WAF安全架构，也可以以更高的效率进行向上或向下扩展

Web应用程序防火墙体系结构

即使是最先进的Web应用程序体系结构，也包含数量惊人的安全漏洞。这可能使它们容易受到诸如蛮力攻击之类的常见攻击，甚至遭受诸如实施XML外部实体或跨站点请求伪造之类的复杂攻击的攻击。幸运的是，有一些用于配置WAF安全体系结构的特定方法可以使许多不同攻击的有效性和频率最小化。

系统体系结构团队应为Web应用程序体系结构考虑不同的结构，以便针对特定配置最大化Web应用程序防火墙的有效性。存在基本的安全Web应用程序体系结构（单层或两层），其中应用程序的Web服务器和数据库服务器具有相同的主机。该体系结构对于项目开发的早期阶段很有用。虽然，这对生产应用程序不利，因为它会引入单点故障。多层/ N层体系结构根据功能将应用程序的不同组件分为多个层，并且每个层都在不同的系统上运行。这提供了隔离，并避免了单点故障。

在大多数应用程序体系结构中，WAF最好位于负载平衡层之后，以最大程度地提高利用率，性能，可靠性和可见性。

WAF是基于L7代理的安全服务，可以部署在数据路径中的任何位置。但是，我们建议将WAF放置在负载平衡层后面最受保护的应用程序附近，以优化您的体系结构的利用率，性能，可靠性和可见性。

WAF利用率
WAF占用大量CPU资源，因为它们正在处理整个流量负载，以评估请求是否有效和安全，因此最大限度地利用数据路径中特定WAF的利用率至关重要。
WAF性能
在负载均衡器层后面部署WAF不再需要上游指定的WAF负载均衡层，从而简化了整个数据路径并提高了应用程序的性能。
WAF可靠性
为了提高WAF的可靠性，可以使用负载平衡器水平缩放它们。位于负载平衡层前面的WAF更容易受到闪存流量或攻击的影响，因此需要另一个负载平衡层，这会导致成本和复杂性增加。
WAF可视化
现代的混合云或多云WAF体系结构可创建分布式Web应用程序安全结构。该结构使用内置分析来执行安全性，以做出明智的安全性决策。这还可以实现按应用程序的部署以及在数据中心和多云环境之间的弹性扩展，同时实现GDPR，HIPAA和PCI合规性。

WAF和DDoS

DDoS即分布式拒绝服务，当使用多个攻击系统针对单个系统造成拒绝服务（DoS）攻击时，DDoS就会发生。 DDoS攻击的目标既包括最终目标系统，也包括黑客在分布式攻击中有害使用和控制的所有系统。

特别是关于Web应用程序的安全性，DDoS攻击试图利用面向Web的应用程序中的特定功能/功能使这些功能/功能无法使用，或者尝试利用组织网络体系结构中的一系列漏洞。
WAF DDoS保护依赖于WAF能够正确地识别出来自机器人和被劫持的浏览器的模拟流量之间的区别，并过滤传入健康的最终用户流量的能力。 WAF被认为比以前的DDoS保护解决方案更能做到这一点，因为它们可以分析HTTP请求并保护更多的应用程序堆栈，以了解应用程序在通信层之外的工作方式。这使WAF可以构建“正常”请求和输入的外观的配置文件，并将其用作基准，以更好地确定恶意DDoS攻击的外观。

然后，DDoS WAF保护可以使用设备指纹来识别安全且可能有害的用户。通过确定在正常参数范围内与应用程序交互的一致行为来确认安全用户，并在启用DDoS的WAF无法从其引用的数据库中识别行为模式时，确定有害用户。

WAF测试

有效的WAF测试过程需要严格的测试。仅从扫描测试的有限尝试是不够的。最准确的WAF测试可衡量针对应用程序进行逻辑攻击的有效性。这包括知道阻止并允许多少实际攻击。它还不仅回答虽然允许了哪些有效请求，还应该回答了哪些被不当阻止的问题。

当询问如何测试Web应用程序防火墙时，最好使用遵循以下步骤的WAF测试框架：

在没有WAF的情况下测试应用程序。
使用默认配置的WAF验证攻击是否仍然成功。
配置WAF，以确定是否可以在前两个步骤中阻止攻击。
验证将WAF配置为阻止攻击后，攻击是否仍继续进行。

此WAF测试过程确定前端WAF是否使应用程序受益。它还可以将WAF配置为防御特定攻击。最后，它确定WAF对抗逻辑攻击的有效性。

WAF测试过程应包括以下测试阶段：

默认没有配置设置（没有WAF保护）。
仅限URL访问的限制。
URL限制和参数检查。
简单的URL限制和基本HTTP流量的参数检查以及特定的恶意流量检查。
检查文件上传工具是否包含恶意内容。

WAF测试工具必须能够针对具有高级技能的攻击者测试Web应用程序防火墙的弹性。这意味着WAF测试工具不能仅检查漏洞。它需要生成合法流量和攻击流量，以确定WAF是否可以在不阻止有效请求的情况下停止攻击。

传统防火墙与Web应用程序防火墙

传统防火墙保护客户端到服务器和服务器之间的信息流，而WAF能够过滤特定Web应用程序的流量。网络防火墙和Web应用程序防火墙是互补的，可以协同工作。 WAF功能和传统防火墙安全性可以结合使用端口/协议检查和应用程序级别检查，以防止入侵并利用外部情报源。

与传统防火墙和Web应用程序防火墙的另一个区别是，传统的安全方法包括网络防火墙，入侵检测系统（IDS）和入侵防御系统（IPS）。这些基于开放系统互连（OSI）模型，可以有效地阻止非法的L3-L4流量。传统防火墙可以根据运行的协议来使用无状态方法或有状态方法进行操作。传统防火墙无法检测Web应用程序中安全漏洞所特有的攻击，因为它们无法理解在第7层的超文本传输协议（HTTP）-OSI模型。它们仅允许打开或关闭从HTTP服务器发送和接收请求的网页的端口。这就是WAF对于防止SQL注入，会话劫持和跨站点脚本（XSS）等攻击非常重要的原因。

Web应用程序防火墙与下一代防火墙

下一代防火墙专注于应用程序流签名，这些签名对出站Internet流量非常有效，但对入站Web服务器的保护却很少。

Web安全网关与Web应用程序防火墙

Web安全网关在浏览Internet时保护网络上的客户端，而不是保护网络免受客户端访问已发布的Web服务的攻击。

云WAF与本地WAF

Web应用程序防火墙解决方案有两种主要的变体-本地WAF（又名硬件WAF）或云WAF。决定哪种最适合您的企业完全取决于您的需求。

通过SaaS提供的Cloud WAF由您的云供应商管理：硬件或软件，更新和安全性均由您选择的提供商维护，并可以通过移动应用程序或Web界面进行访问。强大的计算能力使云WAF在检测攻击（DDoS），通过实时监控获得深入的安全见解以及通过高级分析将误报率降至最低方面比其硬件同类产品更加高效。

通过简单的点击配置，云WAF随您增长，并在灵活，响应迅速的平台上满足您的容量需求。全面，高性能的安全性有助于满足合规性要求，例如GDPR，PCI DSS和HIPAA。通常，预先安排针对Web应用程序安全防火墙的基于使用情况的付款计划。

本地硬件WAF对于安全和IT团队而言需要更多的工作，但可以提供更多的微调自定义。

在提供商的高安全性数据中心中存储和管理云软件的地方，您的管理员将需要专门的内部团队来保护您的网络。硬件或软件的采购和安装，维护，配置和更新通常是技术团队的责任。

硬件WAF的容量估计可能会导致安全性过高或不足，具体取决于流量的波动。扩展以满足容量需求将需要进一步的WAF硬件调整。完全访问平台的所有元素可能是适合您的企业的计划，从而使您完全可以根据自己的独特规格自定义体验。

开源Web应用程序防火墙

随着世纪之交对可定制应用程序安全性的需求增加，整个Web应用程序防火墙的市场规模有所增加，并导致了对开源Web应用程序防火墙的更大需求。

开源WAF为企业提供了更大的灵活性来部署自定义的安全策略，开发自定义的安全仪表板以监视和阻止复杂的攻击并自动执行例行的安全任务，这可能会使IT安全团队花费更多的时间来部署本地WAF。这是通过使用活动的开放源代码WAF社区在线提供的应用程序安全源代码或通过诸如ModSecurity之类的提供程序来实现的。

开源WAF平台通常通过两种常见的部署方法提供用于实时Web应用程序监视，访问和事件日志记录的工具。嵌入式和反向代理。开源Web应用程序防火墙可提供以下防护：跨站点脚本，特洛伊木马，信息泄漏，SQL注入等，但与全功能云相比，可以以更具定制性或单点方式部署，以节省成本和复杂性基于或本地的WAF。开源WAF功能包括：

持续的被动安全评估：实时安全监控的一种变体，其重点从外部方的行为转移到系统本身的行为。这可以充当早期检测系统，以发现不合规定之处和薄弱环节。
实时应用程序安全性监视：可自定义的安全性仪表板中实时显示对即时访问HTTP流量的即时访问。
完整的HTTP流量日志记录：传统的Web服务器通常很少进行安全日志记录，尤其是对安全至关重要的大量事务数据。可以创建开放源WAF函数来记录原始事务数据，并应用规则记录哪些事务应该被记录以及哪些事务将被忽略，这对于分析安全性运行状况可能是重要的。
Web应用程序强化：允许对Web应用程序强化实施修复，以缩小您的特定Web应用程序防火墙体系结构愿意允许的HTTP功能。 HTTP功能的这些攻击面减少包括：请求方法，请求标头，内容类型等。这样就可以修复会话管理问题以及跨站点请求伪造漏洞。

WAF学习模式

WAF学习模式是指WAF在受防火墙保护的应用程序中观察活动并生成一系列重复活动模式的模式或功能，以便为正常活动与恶意活动生成规则。此模式用于确定WAF安全规则和配置是否过于严格或过于宽松，并使WAF能够自动进行调整。主要目的是防止误报导致站点功能出现问题。

当Web应用程序防火墙学习模式处于活动状态时，用户和/或管理员可以访问其站点或应用程序并执行典型的日常任务，并频繁使用站点上的每个功能，从而减少了不必要的阻止有效操作的可能性，反之亦然。 WAF脱离了学习模式，并有效地创建了具有更一致的安全规则的更安全的应用程序环境。

在WAF学习模式中，可疑请求被列入白名单，这使用户可以记录并查看违规情况，但也允许请求通过。如果在学习模式下触发了白名单，则用户可以访问IP地址并确定操作是内部的还是外部的。收集参数值并将其存储为参考值，或将其广义化为值集或参考模式。

Web应用程序防火墙比较

Azure Web应用程序防火墙

Microsoft提供其Azure应用程序网关WAF作为集中管理的第7层安全解决方案，该解决方案集成到Azure安全中心，并提供方便的安全性管理，而无需更改应用程序。 Azure应用程序网关WAF定价内置在整体定价模型中，该定价模型取决于网关处理的数据量以及设置和可用网关的时间。

AWS Web应用程序防火墙

Amazon WAF允许用户为现有的AWS解决方案添加Web应用程序防火墙选项。与其他供应商不同，用户无需为WAF应用程序安全性支付一次性费用，而是按每月添加的AWS WAF规则数量和收到的Web请求付费。为了减少配置自定义安全策略的需求，AWS WAF安全自动化功能会自动为Web ACL提供带有AWS WAF规则的Web规则，该规则可以过滤基于Web的普遍攻击。然后，用户可以选择要在其AWS WAF中包括哪些保护功能。

梭子鱼Barracuda 网络Web应用防火墙

梭子鱼Barracuda 网络应用程序防火墙是作为硬件或虚拟设备提供的，可以部署在本地数据中心或云中。与其他顶级Web应用程序防火墙一样，梭子鱼Web应用程序防火墙监视第7层流量，并提供对应用程序级别和第4层流量的可见性。梭子鱼WAF将HTTP重定向到HTTPS功能使企业可以自动加密通信。用户还可以配置梭子鱼WAF DDoS保护，以确保合法客户端的高可用性。

A10 Web应用程序防火墙

A10 WAF应用程序防火墙是AX系列应用程序交付控制器的A10 Thunder的一部分。它与高级核心操作系统（ACOS）中的其他A10安全功能集成在一起。 A10开发了专门针对ACOS的Web应用程序防火墙功能，并且未集成第三方WAF代码。这使事情易于配置和扩展。 A10 WAF与其他A10安全机制配合使用，以帮助满足法规安全性要求，例如支付卡行业（PCI）和数据安全标准（DSS）要求。

ACE Web应用程序防火墙

Cisco ACE Web应用程序防火墙已淘汰，支持工作已于2016年1月终止。AviNetworks通过我们的《使用软件负载平衡器替换Cisco ACE》提供有关Cisco Ace替换的文档。

Akamai Web应用程序防火墙

Akamai Web应用程序防火墙称为Kona WAF。它分布在Akamai智能平台上。 Kona WAF部署在网络边缘而不是数据中心。 Kona的Web应用程序防火墙服务可处理威胁流量，而不会影响原始服务器的性能。

思科ASA Web应用防火墙

ASA 5500-X系列是关注威胁的下一代防火墙（NGFW）。 Cisco ASA Web应用程序防火墙在NGIPS和AMP的第三方测试中均获得了很高的安全性有效性分数。 Firepower管理中心使用户可以洞悉从数据中心到移动设备的威胁和漏洞。

Cloudflare Web应用程序防火墙

Cloudflare Web应用程序防火墙包括148个内置WAF规则，可一按即可应用。除了默认情况下提供的OWASP十大漏洞保护措施之外，该保护措施也是如此。商业和企业客户可以请求针对特定威胁的自定义WAF规则。 Cloudflare WAF通过CAPTCHA测试来挑战Web访问者。它还提供了从低到高的一系列安全设置。

Comodo Web应用程序防火墙

Comodo Web应用程序防火墙通过提供高级筛选，安全性和入侵保护来支持ModSecurity规则。 Comodo WAF安装可为在Linux Web应用程序防火墙上的Apache，LiteSpeed和NGINX上运行的Web应用程序提供实时保护。

dotDefender Web应用程序防火墙

dotDefender Web应用程序防火墙使用以下引擎：模式识别，签名知识库，数据泄漏保护和上载检查。 dotDefender Web应用程序防火墙体系结构可处理.NET Framework安全问题。

F5 Web应用程序防火墙

F5 Web应用程序防火墙也称为高级WAF。它可以防止对应用程序进行最常见的攻击，而不必更新应用程序本身。高级WAF在Amazon Web Services（AWS），Microsoft Azure和Google Cloud Platform等公共云提供商中可用。 F5 Advanced WAF使用行为分析和机器学习进行第7层拒绝服务（DoS）检测。它还在应用程序层加密数据，以防止数据提取恶意软件的侵害。

NGINX Web应用程序防火墙

NGINX Web应用程序防火墙基于ModSecurity开源软件。
NGINX WAF可以部署在任何环境中，包括裸机，公共云，私有云，混合云，虚拟机和容器。它可以保护应用程序免受复杂的第7层攻击。

Penta安全性Web应用程序防火墙

Penta Security Web应用程序防火墙是称为WAPPLES SA（软件设备）的虚拟WAF。它可以与云WAF系统和其他虚拟环境集成。 WAPPLES SA支持虚拟机管理程序，包括KVM，XenServer和vSphere。 Penta Security的Web应用程序防火墙适用于中小型企业（SMB）。

Radware Web应用程序防火墙

Radware Web应用程序防火墙是基于云的WAF服务。它基于Radware的ICSA实验室。它为OWASP十大威胁提供企业级和持续自适应的Web应用程序安全保护。

SonicWall Web应用程序防火墙

SonicWall Web应用程序防火墙（WAF）可以作为虚拟设备部署在基于VMWare或Microsoft Hyper-V的私有云中。也可以将其部署在AWS或Microsoft Azure公共云环境中。 SonicWall Web应用程序防火墙服务应用了第7层应用程序交付功能，其中包括负载平衡和SSL卸载。 SonicWall Web应用程序防火墙提供了虚拟化的规模经济优势以及物理WAF的安全优势。

引爆点Web应用程序防火墙

Tipping Point Web应用程序防火墙是HP提供的下一代防火墙。惠普Web应用程序防火墙可在不影响网络可用性的情况下，对授权和未授权的应用程序提供实时可见性，分析和集中管理。 HP WAF是最重要的Web应用程序防火墙之一，可提供有关安全性和威胁情况以及应用程序流量，用户体验和应用程序性能的洞察力。

防火墙和WAF的历史

从技术上讲，防火墙一词在1851年被创造为物理墙，以防止火灾蔓延。在现代，Morris病毒（于1988年发布）是最早创建虚拟防火墙的Internet病毒之一。在1990年代初期，开发了一种基于网络的防火墙，可以专门保护FTP流量。这是防火墙能够控制对应用程序或服务的访问的开始。到1990年代末，随着在线活动的增加，对Web服务器的黑客攻击成为问题，并且重点转向了Web应用程序防火墙（WAF）的开发。

到2002年，WAF的使用越来越广泛，一个名为ModSecurity的开源项目创建了WAF安全规则的核心集。开放Web应用程序安全项目（OWASP）开始进一步扩展和标准化WAF的功能。每三到四年就会发布OWASP TOP 10 Web安全漏洞列表，以供合规性行业解决。

Web应用程序防火墙和Gartner

在采用云WAF服务的推动下，全球Web应用程序防火墙市场正在增长。 IT咨询公司Gartner进行了广泛的数据分析，以证明WAF市场趋势，方向，成熟度和参与者。

企业安全和IT团队可以将Web应用程序防火墙gartner报告用作评估，配置和维护WAF安全体系结构的资源，从而为他们的特定需求提供最佳的WAF解决方案。

WAF最佳5个最佳做法

WAF提供针对所有类型的Web攻击的保护，例如跨站点脚本（XXS），SQL注入和路径遍历。为了最有效地防止此类攻击，以下是WAF的5大最佳实践。

创建一个Web应用程序防火墙安全计划，该计划概述了组织的目标并保持组织良好。
找出您的组织使用了哪些应用程序并查看清单。
审核Web应用程序，并按以下三个类别对它们进行优先排序：严重，严重和正常。这将帮助您确定哪些需要广泛或密集的测试。
在确定应用程序的优先级时，还应指出值得排除的漏洞，以便您可以专注于更具威胁性的漏洞。
最小化应用程序特权。所有Web应用程序都具有一系列特权，应该对其进行修改以增强安全性。