web应用防火墙如何检测并响应攻击

WAF不用于传统的防火墙，不止针对一些底层（网络层和传输层）的信息进行阻断，而是会深刻到应用层，对全部应用信息进行保护。web应用防火墙是经过检测客户端和应用服务器之间的请求和响应内容来实现的。因此说，防火墙何时能检测，如何检测以及检测什么就变得很重要。

检测什么将决定其响应能力，WAF应该可以检测请求/响应对象的全部组件，包括会话详细内容。若是应用有要求，例如限制用户会话数量，大多数WAF能够帮助实现。WAF应该提供可用的配置让管理员来轻松选择这些选项。若是企业对GET与POST如何使用有具体要求，或者对访问者进入网站的途径有特定要求，WAF也应该提供支持。

检测异常或恶意流量主要是基于如下几个模型，了解每一个模型也很重要。

第一，若是WAF采用黑名单的作法，它只会阻止列表中包含已知攻击的请求。众所周知的攻击(例如SQL注入、拒绝服务和跨站脚本)一般包含容易检测的某些字符。黑名单很好用，只要WAF支持这种攻击方法。而且，因为威胁常常变化，必须保持黑名单的更新。

其二，若是WAF使用白名单的作法，它只会容许知足列表或配置中标准的请求。这种检测方法须要部署期间前端的更多工做，但一般这是更安全的方法，由于它会阻止一切没有被定义为可接受的事物。这两种方法都应该由企业的技术团队来配置。

另外WAF如何响应攻击或异常也很关键。WAF提供多种响应选项，这些选项在配置界面容易变动。一般状况下，WAF会以某种方式与请求或会话进行交互(当发现攻击或异常时)，例如终止与应用服务器的会话或阻止单个请求。每种方法都有优势和缺点，对于企业来讲，了解哪些方法可行很重要。