網頁應用程式防火牆

網頁应用程序防火墙（英語：Web Application Firewall，縮寫：WAF）是一种特定形式的应用程序防火墙，用于过滤、监控和阻斷通過網頁服务的HTTP流量。透過監察HTTP流量，它可以防止利用網頁应用程序已知漏洞的攻击，例如SQL 注入、跨網站脚本(XSS)、文件包含和不正确的系统配置。 ^[1]

历史

網站应用程序防火墙在 1990 年代后期開始發展，当时伺服器攻击变得越来越普遍。

早期版本的 WAF 由Perfecto Technologies及其 AppShield产品开发^[2]，该产品針對电子商务市场并防止可能造成漏洞的字元输入，如：'#（在SQL注入攻擊中常見）。 2002 年，為了使 WAF 技术更易于使用开源計畫ModSecurity ^[3]成立。ModSecurity基于 OASIS Web 应用程序安全技术委员会 (WAS TC) 公佈的漏洞，最终确定了保护 Web 应用程序的核心规则集。 2003 年，他们結合了網路应用程序安全計畫(OWASP) 的前十名和每年更新的漏洞表制定出一個業界標準。 ^[4] ^[5]

從此以後，市场蓬勃發展，尤其在金融界的信用卡詐欺預防。随着支付卡行业資料安全标准(PCI DSS) 的发展，使得持卡人的數位資料更加安全。根据 CISO 杂志，WAF 市场预计到 2022 年将增长到 54.8 亿美元。 ^[6]

簡介

網路应用程序防火墙是一种特殊的应用程序防火墙，专门用于網路应用程序。它部署在 Web 应用程序前端并分析網路的双向 (通常是HTTP) 流量，使它能夠检测和阻止任何恶意内容。此功能可以在软件或硬件中实现，在特殊设备中运行，或者在运行的一般作業系統的典型服务器中实现。它可能是一个独立的设备或包含在其他网络组件中。^[7]换句话说，WAF 可以是一种虚拟或物理设备，防止網路应用程序中的漏洞被外部使用。这些漏洞可能是因為程式本身過舊或程式設計缺陷。 WAF 通过阻擋符合规则集（也可以稱作過濾條件）的流量来解决这些程式缺陷。

以前未知的漏洞只能通过渗透测试或漏洞扫描器发现。網路应用程序漏洞扫描程序，也称为網路应用程序安全扫描程序，在SAMATE NIST 500-269 中定义为“是一種检查網路应用程序是否存在潜在安全漏洞的自动化程序。除了搜索特定網路应用程序的漏洞外，这些工具还可以檢查程式错误。” ^[8]網路应用程序漏洞扫描程序可以在应用程序中对程式进行更正，也可能需要针对特定的網路应用程序漏洞应用自定义策略以提供临时緊急修复（称为虚拟补丁）。

WAF 并不是安全解决方案的萬靈藥，而是旨在与其他网络外围安全解决方案（例如网络防火墙和入侵防御系统）结合使用，以提供整体防御策略。

種類

儘管稱呼可能不同，但 WAF 基本上可以分為三種。根据 NSS Labs 的分類，有三種：透明网桥、透明反向代理和反向代理。 ^[9] “透明”是指 HTTP 流量直接发送到網頁应用程序，因此 WAF 在客户端和伺服器端之间是透明的。这与反向代理相反，在反向代理中，WAF 充当代理者，客户端的流量直接发送到 WAF。然后，WAF 将过滤后的流量轉傳到 Web 应用程序。這樣有一些好處，例如 IP 遮罩，但可能有一些缺点，例如傳輸延迟。

供應商

许多商业 WAF 具有相似的功能，但主要差异通常涉及特定环境中的用户界面、部署选项或要求。著名的供应商包括：

本機服務

Barracuda Networks WAF
思杰Netscaler 应用防火墙
F5 BIG-IP 進階 WAF（以前称为 ASM）
Fortinet FortiWeb
Imperva SecureSphere
Penta 安全系统（页面存档备份，存于互联网档案馆）WAPPLES
Qualys WAF
Radware 应用墙
罗德与施瓦茨网络安全的WAF

雲端

Akamai Technologies Kona
阿里云
亚马逊网络服务AWS WAF
Barracuda Networks CloudGen WAF 和 WAF 即服务
CDNetworks
Cloudbric
Cloudflare
Fortinet FortiWeb
F5 Silverline
Fastly
IBM Cloud網路服务 WAF
Imperva Incapsula
带有 WAF 的Microsoft Azure 应用程序网关
Oracle 云基础设施WAF
Qualys WAF
Radware
罗德与施瓦茨网络安全WAF
Sucuri防火墙
VMware NSX 進階负载平衡（以前称为 Avi Vantage）

雲端原生

Palo Alto Networks Prisma Cloud WAAS（網路应用程序和 API 安全）

开源

ModSecurity

參見

应用防火墙
支付卡行业資料安全标准(PCI DSS)
網路应用程序
軟體即服务(SaaS)
计算机安全
网络安全
應用程式安全

参考

^ Web Application Firewall. TechTarget. [10 April 2018]. （原始内容存档于2021-10-21）.
^ Perfecto Technologies Delivers AppShield for E-Business - InternetNews.. www.internetnews.com. [2016-09-20]. （原始内容存档于2016-12-20）.
^ ModSecurity homepage. ModSecurity. [2022-09-05]. （原始内容存档于2017-05-21）.
^ DuPaul, Neil. What is OWASP? Guide to the OWASP Application Security Top 10. Veracode. 25 April 2012 [10 April 2018]. （原始内容存档于2022-05-17）.
^ Svartman, Daniel. The OWASP Top Ten and Today's Threat Landscape. ITProPortol. 12 March 2018 [10 April 2018]. （原始内容存档于2022-09-05）.
^ Web Application Firewall Market Worth $5.48 Billion by 2022. CISO Magazine. 5 October 2017 [10 April 2018]. （原始内容存档于2018-04-11）.
^ PCI Data Security Standards Council. Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2 (PDF). PCI DSS. PCI DSS. October 2008 [2022-09-05]. （原始内容存档 (PDF)于2017-05-01）.
^ Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher. NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0 (PDF). SAMATE NIST. SAMATE NIST. January 2008 [2022-09-05]. （原始内容存档 (PDF)于2016-12-30）.
^ TEST METHODOLOGY Web Application Firewall 6.2. NSS Labs. NSS Labs. [2018-05-03]. （原始内容存档于2022-09-05）.

[1] Web Application Firewall. TechTarget. [10 April 2018]. （原始内容存档于2021-10-21）.

[2] Perfecto Technologies Delivers AppShield for E-Business - InternetNews.. www.internetnews.com. [2016-09-20]. （原始内容存档于2016-12-20）.

[3] ModSecurity homepage. ModSecurity. [2022-09-05]. （原始内容存档于2017-05-21）.

[4] DuPaul, Neil. What is OWASP? Guide to the OWASP Application Security Top 10. Veracode. 25 April 2012 [10 April 2018]. （原始内容存档于2022-05-17）.

[5] Svartman, Daniel. The OWASP Top Ten and Today's Threat Landscape. ITProPortol. 12 March 2018 [10 April 2018]. （原始内容存档于2022-09-05）.

[6] Web Application Firewall Market Worth $5.48 Billion by 2022. CISO Magazine. 5 October 2017 [10 April 2018]. （原始内容存档于2018-04-11）.

[7] PCI Data Security Standards Council. Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2 (PDF). PCI DSS. PCI DSS. October 2008 [2022-09-05]. （原始内容存档 (PDF)于2017-05-01）.

[8] Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher. NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0 (PDF). SAMATE NIST. SAMATE NIST. January 2008 [2022-09-05]. （原始内容存档 (PDF)于2016-12-30）.

[9] TEST METHODOLOGY Web Application Firewall 6.2. NSS Labs. NSS Labs. [2018-05-03]. （原始内容存档于2022-09-05）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]