3.3.3 Web应用层安全防火墙

1．介绍

Web应用防火墙（Web Application Firewall, WAF）是为企业提供的网站应用级入侵防御系统，用于对Web网站的常见攻击进行监测和阻断。WAF支持发现SQL注入、XSS跨站等OWASP常见攻击。WAF可以为用户降低停机时间、篡改和数据失窃的风险，并隐藏源站，以防止针对源站的直接攻击。

2．功能描述

WAF包括4个方面的应用层安全功能。

❍ Web常见攻击防护

WAF支持全面检测和阻断SQL注入、XSS跨站脚本、文件包含、命令执行等OWASP常见威胁。

❍ 缓解CC攻击

WAF可对单一源IP的访问频率进行控制、重定向跳转验证等；针对海量慢速请求攻击，识别异常响应码、IP访问、URL异常分布等；针对异常referer、User-agent（用户代理）的请求，可结合访问控制进行过滤。

❍ 0day补丁定期及时更新

WAF可在24小时内及时更新最新漏洞补丁，并及时更新防护规则。

❍ 支持客户自定义规则

WAF支持根据客户自身业务状况来自主定义防护规则，精准拦截恶意流量或者放行合法请求。

3．WAF系统架构图

云平台的WAF作为一个SaaS服务，不仅可以为云平台上的租户提供服务，还可以为非云平台及传统环境的用户提供WAF服务。它采用类似CDN的接入方式串接在请求链路中，把恶意请求阻挡在源站之外；而对正常请求则放行到源站，确保客户的业务正常运行，免受恶意扫描及攻击（见图3.14）。

图3.14 Web应用防火墙系统原理图

云平台WAF为了更好地提升用户体验，在华中、华东、华南、华北等地均部署了WAF集群，并在GSLB上设置相应策略，根据用户源IP分配最近的WAF集群，从而提升了用户体验，降低了访问线路上的时间消耗。