web应用防火墙的实现技术原理

Web应用防火墙的主要技术的对入侵的检测能力，尤为是对Web服务入侵的检测，Web防火墙最大的挑战是识别率，这并非一个容易测量的指标，由于漏网进去的入侵者，并不是都大肆张扬，好比给网页挂马，你很难察觉进来的是那一个，不知道固然也没法统计。对于已知的攻击方式，能够谈识别率;对未知的攻击方式，你也只好等他本身“跳”出来才知道。

如今市场上大多数的产品是基于规则的WAF。其原理是每个会话都要通过一系列的测试，每一项测试都由一个过多个检测规则组成，若是测试没经过，请求就会被认为非法并拒绝。

基于规则的WAFs很容易构建而且能有效的防范已知安全问题。当咱们要制定自定义防护策略时使用它会更加便捷。可是由于它们必需要首先确认每个威胁的特色，因此要由一个强大的规则数据库支持。WAF生产商维护这个数据库，而且他们要提供自动更新的工具。

这个方法不能有效保护本身开发的WEB应用或者零日漏洞（攻击者使用的没有公开的漏洞），这些威胁使用基于异常的WAF更加有效。

异常保护的基本观念是创建一个保护层，这个保护层可以根据检测合法应用数据创建统计模型，以此模型为依据判别实际通讯数据是不是攻击。理论上，一但构建成功，这个基于异常的系统应该可以探测出任何的异常状况。拥有了它，咱们再也不须要规则数据库并且零日攻击也再也不成问题了。但基于异常保护的系统很难构建，因此并不常见。由于用户不了解它的工做原理也不相信它，因此它也就不如基于规则的WAF应用广范。