WAF不用于传统的防火墙,不止针对一些底层(网络层和传输层)的信息进行阻断,而是会深入到应用层,对所有信息进行保护。web应用防火墙是通过检测客户端和应用服务之间的请求和响应内容来实现的。所以说,防火墙什么时候能检测,如何检测以及检测什么就变得很重要。
检测什么将决定其响应能力,WAF应该能够检测请求/响应对象的所有组建,包括会话详细呢绒。如果应用有要求,例如限制用户会话数量,大多数WAF可以帮助实现。WAF应该提供可用的配置让管理员来轻松选择这些选项,如果企业对GET与POST如何使用有具体要求,或者对访问者进入网站的途径有特定要求,web应用防火墙应该提供支持。
检测异常或恶意流量主要是基于一下几个模型,了解每个模型也很重要。
第一,如果WAF采用黑名单做法,它只会阻止列表中包含已知攻击的请求。中所周知的攻击(拒绝服务攻击和跨站脚本)通常包含容易检测的某些字符。黑名单很好用,只要WAF支持这种攻击方法。并且,由于威胁经常变化,必须保持黑名单的更新。
其二,如果WAF使用白名单的做法,它只会允许满足列表或配置中标准呢的请求。这种检测方法需要部署期间前端的更多工作,但通常这是更安全的方法,因为它会阻止一切没有定义为可接收的事物。这两种方法都应该由企业的技术团队来配置。
另外,WAF如何响应攻击或异常也很关键。WAF提供多种响应选项,这些选项在配置界面容易变更。通常情况下,WAF会以某种方式与请求会话进行交互,例如终止与应用服务器的会话或阻止单个请求。每种方法都有优点和缺点,对于企业来说,了解哪些方法可行很重要。