WAF（Web 应用程序防火墙）是应用程序和互联网流量之间的第一道防线，它监视和过滤 Internet 流量以阻止不良流量和恶意请求，WAF 是确保 Web 服务的可用性和完整性的重要安全解决方案。

它通过充当保护 Web 应用程序服务器免受恶意客户端攻击的中介来充当反向代理。

本文将由火伞云小编为您简要解答它的工作原理

1、IP 围栏

这是最简单的保护方法，如果您知道恶意请求来自特定 IP 地址，可以直接使用 WAF 黑名单来拒绝它们，它依赖于一组静态信息。

例如：

火伞云WAF使用 HoneyPot Project 和 spamhaus DB 等信用数据库来识别某些 IP 并随后阻止来自这些 IP 的请求。

2、地理围栏和地理封锁

地理围栏是 WAF 用来在特定地理区域周围创建虚拟周界或边界的一种技术。当用户的 IP 地址位于预定义边界内时，WAF 可以允许或限制对某些内容或功能的访问。

火伞云WAF利用 MaxMind DB 等Geo IP 数据库来允许或拒绝请求。

您还可以使用 WAF 创建地理阻止规则集，这是一种限制性更强的技术，可以完全阻止来自特定区域的访问。

例如：

如果您的电子商务网站仅面向美国客户，您可以使用此功能限制来自其他地区的访问。

3、要求检验

检验是 WAF 对请求和响应施加完全控制的策略的组成部分。通过检验请求的内容，WAF 可以将它们与已知的好/坏字符串和值进行匹配，以区分合法和恶意请求。

WAF使用多个过滤层分析流量，可以检测零日攻击、客户端攻击、机器人攻击（例如 DDoS 攻击）、病毒文件和Web应用程序漏洞。

最先进的WAF可以解码和分析 HTTPS 流量、XML、JSON 和其他广泛使用的数据传输格式。

常见的检验有以下两种：

标头检验

通过检查标头，WAF 可以检测到可能指示恶意活动的特定模式或异常，例如格式错误的用户代理或可疑的 cookie 值。

HTTP 请求的标头包含基本信息，例如用户代理、内容类型、cookie 和使用的 HTTP 方法（例如 GET、POST）。

每个都包含文本字符串，并具有广泛的潜在组合。

因此，WAF 会单独检查每个请求标头以识别潜在的恶意值，而不是依赖于预定义的白名单。

例如：
GET /login HTTP/1.1

Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36
Referer: http://evil.com
Cookie: PHPSESSID=abcdef1234567890; username=admin; password=admin123

在此示例中，请求包含指向恶意网站 (http://evil.com) 的 Referer 标头。Web 服务器使用 Referer 标头来跟踪请求的来源。

通过包含恶意的 Referer 标头，攻击者可以尝试欺骗 Web 服务器，使其相信请求来自受信任的来源。

攻击者还包含一个 Cookie 标头，其中包含会话 ID (PHPSESSID=abcdef1234567890) 以及管理员帐户的用户名和密码（用户名=admin；密码=admin123）。

通过在 Cookie 标头中包含这些值，攻击者可以尝试获得对 Web 应用程序的未授权访问。

通过检查这些标头，WAF 可以检测到恶意 Referer 标头和 Cookie 标头的可疑内容。此外，它会阻止请求并阻止攻击成功。

WAF 还分析浏览器发送的用户代理字符串以获取其他指标，例如异常的浏览器设置和流量自动化的迹象。

请求验证

WAF 进一步检查请求正文、查询参数和请求的其他元素，以识别和阻止对 Web 应用程序的潜在威胁。

WAF 检验有效负载中的每个数据字节，以确定可能指示针对漏洞的攻击尝试的特定字母数字字符组合。

例如：

假设 Web 应用程序具有搜索功能，允许用户通过在搜索框中输入关键字来搜索产品。

攻击者可以通过提交包含 SQL 注入负载的特制输入来利用此功能。

例如：‘apple’ OR 1=1;– – 然后将作为以下 SQL 查询执行：
SELECT * FROM products WHERE name = 'apple' OR 1=1;--

此查询旨在绕过身份验证机制并从数据库中检索所有产品。

添加 OR 1=1 部分以使查询始终返回 true，最后的 — 用于注释掉查询的其余部分并防止任何错误。

如果 WAF 仅依赖预定义的白名单，它可能无法检测到此攻击，因为查询包含有效语法。

但是，通过单独检查每个请求并分析查询的内容，Web 应用程序防火墙可以检测 SQL 注入负载并阻止请求。

WAF 还会分析查询并查找 SQL 注入攻击中常用的关键字，

例如 OR、UNION、SELECT 和 DROP。如果检测到这些关键字中的任何一个，WAF 可以阻止请求并阻止攻击得逞。

WAF 的威胁检测能力超越了 SQL 注入，涵盖了其他频繁发生的高风险威胁，如 XSS 和 XXE。

4、响应检查

WAF 监视和分析离开 Web 应用程序的流量，以识别和阻止任何潜在的恶意或未经授权的活动。

它验证数据包的内容以确保内容类型与请求资源的预期内容类型相匹配。

例如

如果客户端请求图像文件，WAF 可以验证响应是图像文件，而不是可执行文件或恶意内容。

WAF 可以验证 Web 应用程序返回的响应代码是否有效且符合预期。

例如

如果 Web 应用程序为应该存在的资源返回 404 错误代码（未找到页面），则 WAF 可以识别这种潜在的攻击。

Web 应用程序防火墙能够通过屏蔽或阻止包含敏感信息（如信用卡号或任何其他自定义数据）的响应来防止数据泄漏。

例如：

一名员工试图将包含敏感数据的文件上传到外部文件共享网站。WAF 检测数据传输尝试并检查文件是否包含不应与外部共享的任何敏感信息。WAF 扫描文件以查找与组织的数据分类策略相匹配的模式或关键字。

如果文件包含敏感信息，WAF 会阻止上传并向安全团队发送警报。然后，安全团队可以调查事件并采取适当的行动，例如撤销员工的访问权限或展开进一步调查。

5、安全规则

收到请求后，WAF 会分析其有效负载并将其与其规则或签名进行比较。

WAF 通常有两种类型的安全规则：预定义和自定义。

a、预定义规则

供应商预先配置预定义规则，旨在防止常见攻击，例如 SQL 注入、跨站点脚本 (XSS) 和其他已知漏洞。这些规则通常会定期更新以应对新出现的威胁。

火伞云WAF检查每个应用程序区域并通过考虑 OWASP 前 10 大应用程序和 API 漏洞以及已预编程到 WAF 中的其他攻击向量来确定适用的威胁。

预定义的规则集包括防止：

SQL注入

XSS 攻击

本地和远程文件包含

尺寸限制

命令注入

未知的错误输入

恶意文件扩展名（例如 .php、.exe）

目录遍历字符（例如，“..”）

命令注入负载

Java 反序列化负载

主机标头中的本地主机

PROPFIND HTTP 方法

Shell 元字符（例如 |、>、<、）

任意代码执行负载

LDAP 注入负载

XPath 注入负载

XML 外部实体 (XXE) 负载

以下是用于阻止 XSS 攻击的 WAF 预定义规则示例：
SecRule ARGS "@rx <script[\s\S]*?>[\s\S]*?</script>" \
"id:1,\
phase:2,\
block,\
log,\
msg:'XSS Attack Detected',\
tag:'OWASP Top 10',\
severity:'CRITICAL'"

此规则检查请求参数 (ARGS) 中是否存在 <script> 标记，该标记常用于 XSS 攻击。如果规则匹配，它会触发一个动作来阻止请求（block），记录事件（log），并向服务器操作员（msg）发送消息。

该规则还包含一个标记，表明它解决了 OWASP 十大漏洞之一，并将严重性级别设置为严重。

b、自定义规则

网站或应用程序所有者创建自定义规则来解决其环境特有的特定安全问题。这些规则可以定制以满足应用程序的特定需求，并且可以提供超出预定义规则的额外保护层。

托管服务团队在零日漏洞报告后的 24 小时内虚拟修补在 Spring Framework 中检测到的远程代码执行 (RCE) 漏洞。

c、自动规则生成

随着 WAF 继续分析流量并识别新出现威胁的模式，它可以自动生成策略来抵御这些威胁。这有助于减少手动创建策略所涉及的时间和精力，同时防止可能尚未建立签名或规则的新的和不断发展的威胁。

例如：

一种新的攻击涉及向应用程序发送特制的 SQL 查询以绕过身份验证并获得对敏感数据的访问权限。WAF 可以分析流量并识别攻击中使用的特定 SQL 语法。然后，WAF 可以生成策略来阻止此特定语法并防止攻击得逞。

生成安全策略后，WAF 应用该策略来保护应用程序。这是需要安全专家支持的地方。支持团队可以手动微调安全策略以减少误报和漏报。

6、异常评分

如果规则匹配，WAF 会为请求中的每个偏差应用一个分数，作为其威胁检测和响应整体方法的一部分,这被称为“基于风险的方法”。

异常评分系统背后的想法是，并非请求中的所有偏差或异常都同样重要或表示攻击。通过为每个变化或异常分配一个分数，WAF 可以确定请求的总体风险级别，并决定是阻止还是允许它。

WAF使用多种因素来分配分数，包括偏差的严重性和类型、请求的上下文以及发出请求的用户的行为。

例如:

像拼写错误的 URL 这样的简单偏差可能只会得到低分

更严重的偏差，如尝试注入 SQL 代码，可能会获得更高的分数。

WAF 还可以使用分数来触发不同的操作，

例如:

阻止得分高的请求

允许低分

对平均分数的请求进行额外验证

7、DDoS 速率限制

DDoS 速率限制限制特定 IP 地址在给定时间范围内可以发送到服务器的请求数量。速率限制通常是根据一个预定的阈值来设置的，该阈值被认为对正常流量是安全的，任何超过此限制的请求都会被阻止。

通过实施 DDoS 速率限制，WAF 可以有效地防止攻击者用大量请求淹没服务器。这有助于确保合法用户仍然能够访问服务器，并且业务运营可以不间断地继续进行。

例如：

假设一家企业的网站通常每分钟收到大约 1,000 个请求。为防止 DDoS 攻击，企业为任何给定的 IP 地址设置了每分钟 2,000 个请求的 DDoS 速率限制。这意味着如果一个 IP 地址每分钟向服务器发送超过 2,000 个请求，WAF 将阻止这些请求。

现在，假设攻击者对企业网站发起 DDoS 攻击，使用僵尸网络向服务器发送大量请求。即使攻击者控制着数以千计的受感染设备，WAF 也会阻止任何超过每分钟 2,000 个请求阈值的 IP 地址。这有效地限制了 DDoS 攻击的影响，使网站能够继续为合法用户正常运行。

静态速率限制机制的主要缺陷是它依赖于固定的流量阈值。因此，在达到阈值之前可能无法检测到攻击，从而导致攻击检测缓慢或不充分。

8、机器人缓解

WAF 可以分析浏览器发送的cookie，并将它们检查到已知机器人 cookie 的数据库，例如 Udger、Checktor 和 Whatisyourbrowser DB。

为检测机器人，火伞云WAF使用 JavaScript 挑战来区分传统网络浏览器和机器人。

机器人控制组件包括但不限于：

验证码挑战

速率限制

机器人伪装者

网页抓取保护

机器人智能（指纹、IP、行为模式）

WAF 采用基于行为的分析来检测自动流量。这可能包括分析请求的速度和频率、访问页面的顺序，以及有助于区分机器人和人类行为的其他因素。

Bot 保护包括以下目标：

检测来自人类的机器人

识别好机器人与坏机器人

允许好的机器人并阻止坏的机器人

检测僵尸程序的来源并阻止 IP 地址

分析机器人行为和速率限制潜在机器人

通过集成这些方法，WAF 可以成功区分人类流量和机器人流量，识别恶意流量，并提供针对 DDoS 和机器人攻击的有效防御。