Web 應用防火墻(WAF) 幫助企業消除常見的網站攻擊和破壞，保護網站正常運行時間和存儲敏感信息的帳戶。WAF 充當網站與所有HTTP和HTTPS流量之間的一道防線，檢查進入網站的每個請求并觀察互聯網流量的趨勢以確定來自攻擊者的內容。許多安全供應商為企業提供 Web 應用程序防火墻，以將其作為設備、云或軟件安裝在其Web 服務器上。

跳到：

• 什么是 Web 應用程序防火墻？
• 比較最佳的 Web 應用程序防火墻解決方案

• • 強化 WAF
  • Cloudflare WAF
  • 亞馬遜網絡服務 WAF
  • 梭子魚網絡WAF
  • Akamai Kona
  • Fortinet FortiWeb
  • WAF果汁

• Web 應用程序防火墻的類型有哪些？
• 為什么 Web 應用程序防火墻很重要？
• 如何選擇 WAF 解決方案

什么是 WEB 應用程序防火墻？

Web 應用程序防火墻是一種保護 Web 應用程序或網站的安全服務。Web 應用程序防火墻可用于許多不同的問題，包括管理 Web 服務流量、根據組織的預定義規則允許和阻止 HTTP 和 HTTPS 請求，有時還可以根據威脅情報做出實時決策。

WAF 軟件還可以：

• 阻止常見的網站攻擊
• 保護組織的 Web 服務器

Web 應用程序防火墻保護應用程序和站點免受的攻擊類型包括：

• 分布式拒絕服務 (DDoS) 攻擊，這會導致服務器停機，因為它們會向服務器發出不合理數量的 IP 請求
• 零日攻擊，一旦威脅被公開，就會立即針對安全漏洞
• SQL注入，利用不安全的代碼訪問數據庫或主機等系統。
• 跨站腳本攻擊，使用動態網頁生成進入受限賬戶和編輯網站內容

比較最佳的 WEB 應用程序防火墻解決方案

以下七家 WAF 供應商提供 Web 應用程序防火墻解決方案，可阻止攻擊并提供附加功能，例如可定制的策略或規則集、高級威脅監控或與第三方和其他供應商安全產品的集成。在嘗試尋找適合您需求的 WAF 供應商時，請考慮以下提供的 WAF 解決方案。

因佩瓦

Imperva 的 Web 應用程序防火墻是提供商的 Web 應用程序和網絡安全套件的一部分，通過基于云的內容交付網絡(CDN) 交付。Imperva 的 CDN 不僅注重安全，而且高效：它減少了帶寬消耗并加快了頁面渲染速度。這使 WAF 能夠更快地響應。CDN、DDoS 保護功能和 Web 應用程序防火墻都是 Web 應用程序和 API 保護 (WAAP) 平臺的組成部分，Imperva 使用該平臺來改進企業 Web 應用程序的緩存、負載平衡和安全性。

Imperva 的 WAF符合PCI標準，旨在保護第三方應用程序、API、微服務、容器、虛擬機等。它會提醒用戶潛在的攻擊，并且無需高級 HTTP 知識即可進行配置。

主要特征：

• 自動動態應用程序分析
• DDoS 防護
• PCI 合規性
• Imperva 客戶指出的高可靠性和穩定性

Cloudflare

Cloudflare 為企業和 SaaS 提供商提供 Web 應用程序防火墻。SaaS 解決方案還包括 SSL 證書、DDoS 緩解和機器人管理，這些組合可幫助企業保護其 Web 應用程序免受攻擊。Cloudflare 是對于擁有多個云的企業來說，這是一個很好的解決方案，因為它的多云支持涵蓋了負載均衡和 DNS 技術，適用于擁有多個云部署的企業。

Cloudflare 為前 10 個 OWASP（開放 Web 應用程序安全項目）漏洞提供OWASP覆蓋。用戶自定義規則集以阻止某些模式或類型的流量。Cloudflare 的 WAF 還監控流量以獲取暴露的憑據，以防攻擊者使用竊取的憑據訪問站點。

主要特征：

• 防御零日攻擊
• 可定制的規則集
• OWASP 覆蓋前 10 個漏洞
• Cloudflare 檢測到敏感數據時發出警報

亞馬遜網絡服務 WAF

AWS Web 應用程序防火墻通過監控發送到其內容交付網絡 CloudFront 的 HTTP 和 HTTPS 請求來保護網站。用戶指定 CloudFront 用于允許或阻止流量的規則。雖然 AWS WAF 與亞馬遜的 CDN 集成，CloudFront 確實支持在其他地方托管的網站，因此用戶不必通過 Amazon 托管網站即可使用防火墻。

AWS WAF 用戶可以在多個部署之間進行選擇，包括 Amazon API Gateway 和 Application Load Balancer。企業添加規則的成本越高，但 AWS 提供了各種可定制的規則選項，包括 OWASP 十大漏洞和機器人管理。

主要特征：

• 機器人管理
• 與 Amazon 的 CDN CloudFront 集成
• 按使用付費格式
• OWASP 漏洞管理

梭子魚網絡WAF

梭子魚網絡為云環境提供Web應用防火墻；它保護托管在 Microsoft Azure 中的應用程序。防火墻屬于梭子魚的云應用程序保護平臺，用于保護應用程序，使用自動化、訪問控制和高級機器人保護。梭子魚的 WAF 集成了多種服務，包括 Amazon CloudWatch 和 Microsoft Azure Sentinel。

梭子魚的防火墻也可以作為服務使用；WAF-as-a-sService 保護 JSON 和 XML API。WAF 即服務也通過了 Azure 應用程序的認證。

主要特征：

• 高級機器人保護 (ABP) 功能
• 自動創建 API 規則集
• WAF 即服務選項
• 與 Amazon CloudWatch 和 Azure Sentinel 集成

Akamai Kona

安全提供商 Akamai 提供 Web 應用程序防火墻 Kona Site Defender，可保護數據中心免受來自邊緣的攻擊。Akamai 擁有威脅情報根據出現的威脅和現有攻擊編輯 WAF 規則的團隊。Kona 屬于其基于云的網絡安全平臺，該平臺還提供 12 種其他解決方案。

Akamai 針對 SQLi 和跨站點腳本攻擊采取措施。它在應用層控制中提供了預定義的規則，例如協議違規，但用戶也可以配置這些規則。Akamai 監控警報和有關觸發警報或防火墻響應的操作的更詳細數據。Akamai 還提供 IP 白名單和黑名單以及地理封鎖。用戶可以對基于數量的攻擊應用速率控制。

主要特征：

• 基于容量的攻擊的速率控制
• 防止 SQL 注入和跨站點腳本
• 深度警報監控和有關安全威脅的詳細數據
• 預定義但可配置的規則

Fortinet FortiWeb

Fortinet 的 Web 應用程序防火墻可用于多種部署：

• 硬件設備
• 虛擬機
• 公共云
• 集裝箱電器
• 軟件即服務

其虛擬機部署提供多種虛擬環境，包括 VMWare 和 Microsoft Hyper-V，并支持三大公有云提供商以及 Oracle。

Fortinet 的 SaaS WAF 是基于云的，可在應用層保護 Web 應用免受常見攻擊和 OWASP 十大漏洞。SaaS 版本還使用來自 Fortinet 的 FortiGuard 實驗室的服務，例如沙盒和為 Web 應用程序流量提供 IP 信譽管理。IP 信譽管理服務從多個來源收集 IP 數據，阻止已知的惡意模式。它與 Fortinet 的反僵尸網絡安全配合使用并阻止惡意僵尸網絡源。

主要特征：

• 多種部署選項
• 基于云的 SaaS 防火墻，帶有額外的 FortiGuard 服務
• IP聲譽和反僵尸網絡安全服務
• 與 AWS、HPE、Nutanix 和 Oracle 等多種 IT 服務集成

果汁

Sucuri 的 Web 應用防火墻屬于其 Web 安全平臺，其中還包括一個入侵防御系統。Sucuri 保護網站免受零日攻擊和三層不同的 DDoS 攻擊。它的安全軟件更新補丁和服務器規則，以防止黑客利用最近發現的弱點。

Sucuri 為網絡和系統管理員提供了 IP 地址的許可名單，因此它們不會被阻止攻擊者的技術阻止。用戶還可以選擇為某些網頁選擇額外的保護，例如驗證碼或雙因素身份驗證選項。Sucuri 支持對每個站點進行單獨的應用程序分析，根據適合應用程序配置文件的內容分析請求。

主要特征：

• 快速修補和服務器規則更新
• 應用于網頁的附加保護
• 系統管理員的 IP 地址白名單
• 對提供大量攻擊的國家進行地理封鎖

WEB 應用程序防火墻的類型有哪些？

三種主要的 Web 應用程序防火墻類型在成本和部署方面各不相同。

網絡設備WAF

網絡設備 WAF 是本地安裝的硬件，用于保護本地 Web 應用程序托管。網絡設備防火墻可以由辦公室或本地數據中心的管理員直接管理。它們的維護成本也很高，并且組織負責所有硬件維護。

云托管的 WAF

云托管的 Web 應用程序防火墻可以是混合部署或純云部署。如果它們完全是云，則提供商負責管理硬件和網絡，從而減輕企業的任何管理負擔。云托管的 WAF 非常適合沒有空間或資源來安裝本地 WAF 的企業。

基于主機的WAF

基于主機的 Web 應用程序防火墻作為軟件安裝在服務器或計算機上，并使用該 Web 服務器的資源來運行。基于主機的 WAF 與其他防火墻不同，因為它們安裝在設備上而不是網絡層。但是，某些攻擊不需要通過基于主機的防火墻，然后可能會穿過屏障。

為什么 WEB 應用程序防火墻很重要？

Web 應用程序防火墻專用于保護網站和 Web 服務器免受常規攻擊，這些攻擊可能會耗費企業資金和敏感數據。Web 應用程序防火墻阻止常見的基于 Web 的攻擊，這些攻擊可能導致數據被盜、站點停機和財務損失。

WAF 軟件還有：

• 增加保持站點和服務器正常運行的可能性，因為流量基于預定義的策略和自動更新的攻擊簽名受到限制。網站通常是企業收入的主要來源——所有在線購買和帳戶會話都是通過該網站完成的。
• 捕獲運行腳本中的問題，這些腳本旨在看起來像無辜的互聯網流量
• 通過訪問經常更新的惡意代碼記錄并定期掃描流量以查找奇怪的簽名或其他異常情況來阻止惡意機器人攻擊

如何選擇 WAF 解決方案

如果您的企業正在考慮實施 Web 應用程序防火墻，請考慮以下問題：

• 防火墻是否經常更新惡意簽名，將它們添加到已知可疑代碼的列表或數據庫中，并在短時間內阻止新的？由于攻擊者有時會利用最近發現的漏洞，因此擁有能夠快速為這些攻擊做好準備的 WAF 可以減少站點違規的數量。
• WAF 部署類型是否適合您的業務？如果您需要密切配置防火墻的所有方面并擁有本地硬件，那么網絡設備防火墻可能是您組織的正確選擇。但是，如果您想花更少的錢并且沒有現場資源，那么基于云的防火墻將減輕您必須做的 IT 配置。
• 防火墻的集成是什么樣的？它是否適用于其他安全平臺？另一個考慮因素是您想一次實施多少個安全解決方案；供應商是否提供多個協同工作的應用程序安全解決方案？