WAF（Web 應用程序防火墻）通過過濾和監(jiān)控 Web 應用程序與互聯(lián)網(wǎng)之間的 HTTP 流量來幫助保護 Web 應用程序。它通?？梢员Ｗo Web 應用程序，使其免受跨站點偽造、跨站點腳本 (XSS)、文件包含、SQL 注入及其他一些攻擊的影響。WAF 屬于協(xié)議第 7 層防御策略（OSI 模型中），并不能抵御所有類型的攻擊。此攻擊緩解方法通常隸屬于一套工具，整套工具共同針對一系列攻擊手段建立整體防御措施。

通過在 Web 應用程序前端部署 WAF，可在 Web 應用程序與 Internet 之間形成一道屏障。雖然代理服務器通過中介保護客戶機的身份，但 WAF 是一種反向代理，引導客戶端通過 WAF 到達服務器，從而防止暴露服務器。

WAF 通過一組通常稱為“政策”的規(guī)則進行運作。這些政策旨在過濾惡意流量，防止受到應用程序漏洞的侵害。WAF 的部分價值在于可以快速簡便地修改政策，因而可以更迅速地響應不同的攻擊手段。在 DDoS 攻擊期間，可通過修改 WAF 政策快速實施速率限制。

黑名單與白名單 WAF 之間有什么區(qū)別？

基于黑名單（消極安全模型）運行的 WAF 可防范已知攻擊。您可以將黑名單 WAF 想象為俱樂部保鏢按指示拒絕接待不符合著裝要求的客人。相反，基于白名單（積極安全模型）的 WAF 僅允許接受預先批準的流量。類似于奢華派對保鏢，只接待出席名單列出的客人。無論黑名單還是白名單，二者都有各自的優(yōu)缺點，因此很多 WAF 提供混合安全模型，綜合實施兩種方法。

什么是基于網(wǎng)絡、基于主機和基于云的 WAF？

WAF 可以通過三種不同的方式來實施，每種方式都有各自的優(yōu)缺點：

• 基于網(wǎng)絡的 WAF 通?；谟布Ｓ捎诓捎帽镜匕惭b模式，因而可以最大限度地縮短延遲，但基于網(wǎng)絡的 WAF 費用最昂貴，而且還要安裝和維護物理設備。
• 基于主機的 WAF 可完全集成至應用程序軟件。這種解決方案的成本低于基于網(wǎng)絡的 WAF，而且還能提供更多定制功能。基于主機的 WAF 的缺點在于，占用本地服務器資源，實施起來復雜，而且還會產(chǎn)生維護成本。這些組件通常需要預留維護時間，可能成本較高。
• 基于云的 WAF 是一種極易實施的經(jīng)濟型方案；通常提供一站式安裝服務，就像更改 DNS 來重定向流量一樣簡單。另外，基于云的 WAF 的前期成本最低，因為用戶按月或按年支付安全即服務費用?；谠频?WAF 還可以提供持續(xù)更新解決方案以抵御最新威脅，用戶無需額外開展工作或投入成本。基于云的 WAF 的缺點在于，用戶將責任轉(zhuǎn)嫁給第三方，因此對他們而言，WAF 的某些功能可能成為黑盒。（基于云的 WAF 是一種云防火墻類型；