为何须要WAF

WAF是专门为保护基于web应用程序而设计的，不像传统的防火墙，是基于互联网地址和端口号来监控和阻止数据包。一个标准的端口号对应一种网络应用程序类型。它的出现是因为传统防火墙没法应对应用层的攻击进行有效抵抗。而且IPS也没法从根本上防御应用层的攻击，所以出现了web应用防火墙系统。

WAF是一种基础的安全保护模块，经过特征提取和分块检索技术进行特征匹配，主要针对HTTP访问的web程序保护。WAF部署在Web应用程序前面，在用户请求到达 Web 服务器前对用户请求进行扫描和过滤，分析并校验每一个用户请求的网络包，确保每一个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。经过检查HTTP流量，能够防止源自Web应用程序的安全漏洞（如SQL注入，跨站脚本（XSS），文件包含和安全配置错误）的攻击。

WAF可以区别于常规防火墙，由于WAF可以过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。而web应用防火墙不是一个最终的安全解决方案，而是它们要与其余网络周边安全解决方案（如网络防火墙和入侵防护系统）一块儿使用，以提供全面的防护策略。

传统的防火墙容许向邮件服务器相对应的互联网地址发送数据，让数据包经过25端口送达目的地。发送数据包给一个不是邮件服务器系统的互联网地址和25端口，就是一个攻击。防火墙会阻止这些数据包。Web服务器理应经过80端口传送数据包。因此全部发给支撑web服务器系统80端口的数据包必须被容许经过防火墙。传统的防火墙没有办法测定一个地址指向正确的数据包是否包含威胁，但Web应用防火墙能够仔细检查数据包的内容来检测并阻止威胁。