网页应用程序防火墙

网页应用程序防火墙（英语：Web Application Firewall，缩写：WAF）是一种特定形式的应用程序防火墙，用于过滤、监控和阻断通过网页服务的HTTP流量。透过监察HTTP流量，它可以防止利用网页应用程序已知漏洞的攻击，例如SQL 注入、跨网站脚本(XSS)、文件包含和不正确的系统配置。 ^[1]

历史

网站应用程序防火墙在 1990 年代后期开始发展，当时服务器攻击变得越来越普遍。

早期版本的 WAF 由Perfecto Technologies及其 AppShield产品开发^[2]，该产品针对电子商务市场并防止可能造成漏洞的字符输入，如：'#（在SQL注入攻击中常见）。 2002 年，为了使 WAF 技术更易于使用开源项目ModSecurity ^[3]成立。ModSecurity基于 OASIS Web 应用程序安全技术委员会 (WAS TC) 公布的漏洞，最终确定了保护 Web 应用程序的核心规则集。 2003 年，他们结合了网络应用程序安全项目(OWASP) 的前十名和每年更新的漏洞表制定出一个业界标准。 ^{[4] [5]}

从此以后，市场蓬勃发展，尤其在金融界的信用卡诈欺预防。随着支付卡行业资料安全标准(PCI DSS) 的发展，使得持卡人的数字资料更加安全。根据 CISO 杂志，WAF 市场预计到 2022 年将增长到 54.8 亿美元。 ^[6]

简介

网络应用程序防火墙是一种特殊的应用程序防火墙，专门用于网络应用程序。它部署在 Web 应用程序前端并分析网络的双向 (通常是HTTP) 流量，使它能够检测和阻止任何恶意内容。 此功能可以在软件或硬件中实现，在特殊设备中运行，或者在运行的一般操作系统的典型服务器中实现。它可能是一个独立的设备或包含在其他网络组件中。^[7]换句话说，WAF 可以是一种虚拟或物理设备，防止网络应用程序中的漏洞被外部使用。这些漏洞可能是因为程序本身过旧或程序设计缺陷。 WAF 通过阻挡符合规则集（也可以称作过滤条件）的流量来解决这些程序缺陷。

以前未知的漏洞只能通过渗透测试或漏洞扫描器发现。 网络应用程序漏洞扫描程序，也称为网络应用程序安全扫描程序，在SAMATE NIST 500-269 中定义为“是一种检查网络应用程序是否存在潜在安全漏洞的自动化程序。除了搜索特定网络应用程序的漏洞外，这些工具还可以检查程序错误。” ^[8]网络应用程序漏洞扫描程序可以在应用程序中对程序进行更正，也可能需要针对特定的网络应用程序漏洞应用自定义策略以提供临时紧急修复（称为虚拟补丁）。

WAF 并不是安全解决方案的万灵药，而是旨在与其他网络外围安全解决方案（例如网络防火墙和入侵防御系统）结合使用，以提供整体防御策略。

种类

尽管称呼可能不同，但 WAF 基本上可以分为三种。根据 NSS Labs 的分类，有三种：透明网桥、透明反向代理和反向代理。 ^[9] “透明”是指 HTTP 流量直接发送到网页应用程序，因此 WAF 在客户端和服务端之间是透明的。这与反向代理相反，在反向代理中，WAF 充当代理者，客户端的流量直接发送到 WAF。然后，WAF 将过滤后的流量转传到 Web 应用程序。这样有一些好处，例如 IP 遮罩，但可能有一些缺点，例如传输延迟。

供应商

许多商业 WAF 具有相似的功能，但主要差异通常涉及特定环境中的用户界面、部署选项或要求。著名的供应商包括：

本机服务

• Barracuda Networks WAF
• 思杰Netscaler 应用防火墙
• F5 BIG-IP 高级 WAF（以前称为 ASM）
• Fortinet FortiWeb
• Imperva SecureSphere
• Penta 安全系统 （页面存档备份，存于互联网档案馆）WAPPLES
• Qualys WAF
• Radware 应用墙
• 罗德与施瓦茨网络安全的WAF

云端

• Akamai Technologies Kona
• 阿里云
• 亚马逊网络服务AWS WAF
• Barracuda Networks CloudGen WAF 和 WAF 即服务
• CDNetworks
• Cloudbric
• Cloudflare
• Fortinet FortiWeb
• F5 Silverline
• Fastly
• IBM Cloud网络服务 WAF
• Imperva Incapsula
• 带有 WAF 的Microsoft Azure 应用程序网关
• Oracle 云基础设施WAF
• Qualys WAF
• Radware
• 罗德与施瓦茨网络安全WAF
• Sucuri防火墙
• VMware NSX 高级负载平衡（以前称为 Avi Vantage）

云端原生

• Palo Alto Networks Prisma Cloud WAAS（网络应用程序和 API 安全）

开源

• ModSecurity

参见

• 应用防火墙
• 支付卡行业资料安全标准(PCI DSS)
• 网络应用程序
• 软件即服务(SaaS)
• 计算机安全
• 网络安全
• 应用程序安全

参考

1. Web Application Firewall. TechTarget. [10 April 2018]. （原始内容存档于2021-10-21）.
2. Perfecto Technologies Delivers AppShield for E-Business - InternetNews.. www.internetnews.com. [2016-09-20]. （原始内容存档于2016-12-20）.
3. ModSecurity homepage. ModSecurity. [2022-09-05]. （原始内容存档于2017-05-21）.
4. DuPaul, Neil. What is OWASP? Guide to the OWASP Application Security Top 10. Veracode. 25 April 2012 [10 April 2018]. （原始内容存档于2022-05-17）.
5. Svartman, Daniel. The OWASP Top Ten and Today's Threat Landscape. ITProPortol. 12 March 2018 [10 April 2018]. （原始内容存档于2022-09-05）.
6. Web Application Firewall Market Worth $5.48 Billion by 2022. CISO Magazine. 5 October 2017 [10 April 2018]. （原始内容存档于2018-04-11）.
7. PCI Data Security Standards Council. Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2 (PDF). PCI DSS. PCI DSS. October 2008 [2022-09-05]. （原始内容存档 (PDF)于2017-05-01）.
8. Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher. NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0 (PDF). SAMATE NIST. SAMATE NIST. January 2008 [2022-09-05]. （原始内容存档 (PDF)于2016-12-30）.
9. TEST METHODOLOGY Web Application Firewall 6.2. NSS Labs. NSS Labs. [2018-05-03]. （原始内容存档于2022-09-05）.