WAF 与防火墙：Web 应用程序和网络防火墙

在当今不断变化的威胁形势下，了解网络安全解决方案的工作方式以及它们与其他解决方案的工作方式非常重要。对于 Web 应用程序防火墙 (WAF) 和网络防火墙解决方案而言尤其如此，它们可以防范高级网络犯罪活动，包括复杂和创新的网络攻击。了解保护您的组织免受 Web 应用程序和网络威胁的正确方法可能是保持安全和处理攻击后果之间的区别。

什么是WAF？

Web应用程序防火墙(WAF) 是一种硬件设备、虚拟设备或基于云的服务，驻留在面向 Web 的应用程序前面，用于检测和防御各种恶意攻击。WAF 专注于第 7 层 Web 应用程序流量 (HTTP/S)，并保护网络中面向 Internet 的区域中的应用程序。

WAF 可以使用多种技术来了解是应该允许流量通过应用程序还是应该阻止流量。其中一些技术是基于已知签名的阻止列表的消极安全模型的一部分，而另一些则属于基于机器学习和基于行为的算法驱动的允许列表的积极安全模型。大多数 WAF 仅依赖于消极安全模型。一些更高级的 WAF 使用积极安全模型与消极安全模型的组合。

最后，WAF 正在从独立工具过渡到完全集成的 Web 应用程序和 API 保护 (WAAP) 产品，其中包括一套功能，包括保护 API、爬虫程序管理和缓解功能、应用程序第 7 层 DDoS 保护、客户端保护等。

什么是防火墙？

网络防火墙可防止对计算机网络的未经授权的访问。网络防火墙通过创建安全区域并将其与不太安全的区域分开来防止未经授权的访问。它们使用配置和访问控制策略来控制两个区域之间的通信。网络防火墙通常在 OSI 第 3 层和第 4 层运行，重点关注域名系统 (DNS)、文件传输协议 (FTP)、简单邮件传输协议 (SMTP)、安全外壳 (SSH) 和 Telnet 等网络协议。

Web应用程序防火墙与网络防火墙的区别

网络防火墙和 Web 应用程序防火墙 (WAF) 都是有助于防范网络攻击的安全解决方案，尽管它们的工作方式、监控的互联网层和协议以及旨在防范的攻击类型有所不同。WAF 通过过滤和监控 Web 应用程序和最终用户之间的 HTTP 流量（OSI 第 7 层）来保护 Web 流量。他们采用一组不同的安全策略来检测和防止攻击，例如注入、跨站点脚本、服务器端请求伪造和其他 Web 应用程序攻击。相比之下，网络防火墙根据预定义的安全策略监视和控制网络和传输层流量（OSI 第 3 层和第 4 层），以确保拒绝未经授权的流量进入。

虽然这两种解决方案在网络安全中都发挥着至关重要的作用，但它们的主要区别在于其特性和功能。WAF 在保护 Web 应用程序安全方面发挥着至关重要的作用，可以防御与 Web 相关的攻击。通常，WAF 部署在 Web 服务器前面，以防止可能针对应用程序漏洞的复杂的基于 HTTP 和 HTTPS 的攻击。另一方面，网络防火墙主要通过其入侵防御功能防止未经授权的网络访问来补充网络安全。

未能正确保护 Web 应用程序可能会对组织产生严重影响。当 Web 应用程序遭到破坏时，黑客可以访问敏感信息、修改应用程序功能或关闭系统，从而危及关键业务数据。因此，同时部署WAF和网络防火墙对于全面保护Web应用至关重要。WAF 通过过滤恶意 HTTP 和 HTTPS 流量来防御特定于 Web 应用程序的威胁，而网络防火墙则可保护 Web 应用程序的后端基础设施。

网络流量与应用程序流量

网络流量和应用程序流量是网络安全中需要理解的两个概念。网络流量是指网络中设备之间的数据包流动，而应用程序流量是指相同或不同主机上的应用程序之间的数据流动。未经授权访问此流量对组织构成重大威胁。当网络犯罪分子未经授权访问应用程序或网络时就会发生这种情况。对于应用程序流量，如果有人利用应用程序中的漏洞，则可能会发生此类访问。相比之下，网络攻击针对的是未经授权的访问，旨在访问网络资源，从而损害系统并造成损坏或中断。

减轻这些威胁显然很重要。部署入侵防御系统和防火墙来防止网络攻击。同时，Web 应用程序防火墙 (WAF) 会检查和过滤流向应用程序的 HTTP 流量，阻止可能造成损害的恶意流量。值得注意的是，网络和应用程序流量都是网络攻击的潜在目标，这强调了强大的网络安全措施的重要性。拥有合适的工具（例如 WAF、防火墙和 IDPS）对于防止未经授权的访问和缓解漏洞至关重要，从而确保关键数据免受网络攻击。

第 7 层与第 4 层和第 3 层保护

七层保护和三四层保护都是网络安全保护机制的重要组成部分。第 7 层保护是指一种应用程序级保护机制，重点是观察应用程序的流量、识别模式并拒绝不符合流量典型应用的恶意流量。相比之下，第 3 层和第 4 层保护是指基于标准 TCP/IP 和 UDP 协议套件的网络级保护，重点是根据源和目标 IP 地址和端口控制流量。这两种方法之间的主要区别在于第 7 层保护侧重于拒绝应用程序协议未明确允许的任何内容。另一方面，第 3 层和第 4 层侧重于限制与基于 IP 地址、端口或协议的预定义规则不匹配的流量。

未经授权的访问 vs. 未经授权的访问 网络攻击

未经授权的访问和网络攻击是两个不同的网络安全概念。未经授权的访问是指未经许可而未经授权进入系统或网络，通常意图窃取、修改或破坏信息。未经授权的访问的示例包括：

• 密码破解
• 使用被盗凭证
• 设备或硬盘的物理盗窃

另一方面，Web攻击侧重于利用Web应用程序中的漏洞，旨在通过安全漏洞访问Web应用程序的敏感数据或服务。网络攻击的示例包括：

• SQL注入
• 跨站脚本（XSS）
• 服务器端请求伪造 (SSRF)
• Web DDoS 攻击（HTTP/S 洪水）
• *力暴**破解

两者之间的主要区别在于攻击的目标和类型。未经授权的访问侧重于获取对系统或网络基础设施的访问权限，而 Web 攻击则集中在应用程序层。在这两种情况下，攻击者的目的都是窃取数据或影响应用程序和组织网络的性能。但攻击的方法和类型有所不同——虽然针对网络层的攻击我们会看到恶意行为者试图用病毒、蠕虫、恶意软件感染组织网络，以控制不同的功能以及端点设备和服务器，或者变成“招募者”将它们连接到僵尸网络，在对 Web 应用程序层的攻击中，我们将看到使用注入和各种 http 操作来尝试访问应用程序数据库、接管最终用户帐户或操纵 Web 应用程序性能和功能。了解未经授权的访问和网络攻击之间的区别对于实施有效的网络安全措施以防止其发生至关重要。

为什么您需要 WAF 和防火墙安全解决方案？

网络防火墙和 WAF 可以防御不同类型的威胁，并且相辅相成。WAF 依靠网络防火墙来防御网络第 3 层和第 4 层的攻击。

下一代防火墙 (NGFW) 在其网络防火墙功能中添加了额外的功能，包括防病毒、反恶意软件、入侵防御、URL 过滤和某些应用程序安全功能。

然而，NGFW的用户除了保护已发布和未列出的API以及机器人管理/缓解功能之外，仍然要求WAF/WAAP为应用程序提供更全面的保护。

比较表：WAF 与网络防火墙