网络安全
Web 应用防火墙(WAF)
别称: WAF
定义
一种反向代理式的过滤器,通过检查 HTTP/HTTPS 流量,在请求到达应用之前阻断 SQL 注入、XSS、机器人滥用等 Web 攻击。
Web 应用防火墙(WAF)部署在 Web 应用前端——通常作为反向代理、Sidecar 或 CDN 边缘服务——并依据 OWASP 核心规则集等规则对每个 HTTP 请求和响应进行分析。它可以阻断注入、恶意文件上传、扫描器流量、七层 DDoS、撞库以及机器人滥用,常结合特征签名、异常评分、限速和机器学习模型。对难以快速打补丁的遗留应用或第三方应用,WAF 是关键的防护层。需要细致调优以降低误报、先以监测模式上线再启用阻断,并应与安全编码配合,而非取而代之。
示例
- AWS WAF 在请求到达应用前拦截包含 UNION SELECT 的恶意载荷。
- Cloudflare WAF 对登录接口进行限速,以缓解撞库攻击。
相关术语
防火墙
一种网络安全设备或软件,依据预定义的规则集监控和控制入站与出站流量,将可信网络与不可信网络隔离开来。
下一代防火墙(NGFW)
在状态化检测基础上引入应用识别、集成 IPS、用户身份控制和 TLS 解密,从而实施更精细策略的高级防火墙。
Reverse Proxy
Reverse Proxy — definition coming soon.
OWASP Top 10
OWASP Top 10 — definition coming soon.
RASP(运行时应用自保护)
嵌入到运行中应用程序内部的防御机制,实时监视执行上下文并阻断注入、反序列化攻击等恶意行为。
API Security
API Security — definition coming soon.