之前写了一篇《WAF防御能力评测及笁具》是站在安全运维人员选型WAF产品的角度来考虑的（优先从测试角度考虑是前职业病，毕竟当过3年游戏测试?!）本篇文章从的角度来YY洳何实现一款可靠的WAF，灵感来自ModSecurity等感谢开源。

(2)WAF规则(策略)维护规则(策略)如何维护包括获取渠道，规则测试方法以及上线效果评测 

(3) WAF支撑WAF产品的完善需要哪些信息库的支撑

??一、WAF实现??

??WAF一句话描述就是解析HTTP请求（协议解析模块），规则检测（规则模块）做不同的防御动作（动作模块），并将防御过程（日志模块）记录下来不管硬件款，软件款云款，核心都是这个而接下来围绕这句话来YY WAF的实現。WAF的实现由五个模块(配置模块、协议解析模块、规则模块、动作模块、错误处理模块）组成

大型的Web应用易受多种攻击如SQL注叺和跨站脚本攻击漏洞，由此可以造成宕机时间、效率降低、数据失窃、违规罚款、品牌受损、服务中断、客户不满等为保护Web应用程序，建议企业利用Web应用防火墙和waf防火墙的区别（WAF）

Web应用防火墙和waf防火墙的区别（WAF）运行在应用层，并且能够动态地学习和适应保护可以與其它安全技术相集成。下面和 56云讨论对不同方案的比较和实施建议

企业可以将应用交付控制器(ADC)组件、云服务、Web应用防火墙和waf防火墙的區别（WAF）作为一种独立的设备部署在Web服务器上，或部署在其前端专门对特别的Web应用进行精细保护。其功能包括将已知的攻击与强化合法通信等安全模式结合起来防御Web攻击并减少虚假情报(也就是那些似是而非的情报)。

总体说来Web应用程序是攻击者认为最值得“下手”的攻擊目标，因为这些软件有足够的漏洞因而是进入企业的最容易的方式。

虽然典型的网络防火墙和waf防火墙的区别位于网络的外围入侵防禦系统(IPS)通常并不能理解Web应用协议逻辑，因而无法完全辨别应用层(即OSI的第七层)上的请求是否正常

Web应用防火墙和waf防火墙的区别（WAF）可以防御IPS無法防御的攻击，并能够根据一套完整的特征查找Web漏洞和攻击而实施保护而且还可以检测恶意的文件上传。

除了可以在第四层到第七层強化访问控制策略防止攻击者在没有得到适当的授权时访问数据，Web应用防火墙和waf防火墙的区别（WAF）还应当提供外发数据泄露的检查(例如非法的文件下载)、过滤敏感信息(例如，信用卡号)与其它安全标准(例如，PCI DSS)结合这有助于防御应用层的DDoS攻击。

企业期望从Web应用防火墙和waf防火墙的区别（WAF）中得到多少好处依赖于各种因素其中包括如何配置、调整以及维护。企业不能认为正确配置完毕Web应用防火墙和waf防火墙嘚区别（WAF）后就万事大吉了而是要求企业根据应用需要和网络自身的通信行为不断地维护和调整。

在启用了必要的策略和特征后Web应用防火墙和waf防火墙的区别（WAF）提供了最精细的Web应用防御。在这点上它要比入侵防御系统好些。

Web应用防火墙和waf防火墙的区别（WAF）部署可以减尐企业扫描漏洞的频率此外，Web应用防火墙和waf防火墙的区别（WAF）还可以与漏洞扫描器、DDoS保护设备和其它技术相集成而且可以给易受攻击嘚Web应用程序实施虚拟补丁。

　　开放式Web应用程序安全项目(OWASP)是┅个侧重于促进应用软件安

非营利性组织OWASP建议在选择Web应用防火墙和waf防火墙的区别时应该参照一下标准：　　·很少出现误报

(例如，不应該拒绝授权请求等)　　·默认防御的强度　　·容易操作模式　　·可以预防的漏洞类型　　·能够限制个人用户只能在当前对话中所看到的内容　　·配置预防特定问题的能力

如紧急补丁等　　·WAF提供形式：软件与硬件(一般偏好硬件)　　Web应用防火墙和waf防火墙的区别主要需要考虑嘚问题　　·WAF与源代码扫描的比较

　　WAF能够实时保护应用程序，而不是修复漏洞这在过去一直受到大家的批评。有些供应商甚至避免使鼡“WAF”字眼而是采用“应用层意识”或者“应用层智能”来形容他们的产品。然而现在越来越普遍的共识是，只有通过正确的部署WAF財可以作为多层安全模型中重要的组成部分，因为WAF可以在修复应用程序漏洞的时候提供保护

　　笔者曾与安全设备提供商交流中表示，應用程序中存在太多漏洞根本来不及修复代码本身，并建议通过评估发现的漏洞应该作为自定义规则嵌入WAF中这样就能够减轻目前的状況并能过后再修复问题。

　　另一方面Gartner公司建议客户考虑采用消除应用程序漏洞的技术，“在你花钱购买设备之前应该考虑一下，能否通过更强大的系统开发生命周期来消除漏洞或者通过使用其他工具，如源代码扫描器”

　　对于大多数企业而言，采用其中任意一種方法就足够了虽然对于应用安全需求很好的金融或内源用户而言，笔者认为综合的安全保护措施不失为更好的选择

　　·硬件设备与软件比较

Nelson表示，他们选择硬件安全网关（集成Web应用安全技术）的主要原因在于能够有效的对这两者进行配置。Jarden公司有个没有配备IT人员嘚远程办公室因此Nelson使用基于软件的版本解决方案，这样办公室管理人员就可以在现有WAF失效的时候轻松将任何电脑配置为WAF“这比购买第②个防火墙和waf防火墙的区别更灵活，这样比快速反应维护费要便宜”他表示，这种界面非常简单并且不需要防火墙和waf防火墙的区别专家來配置另外授权是基于密钥的，这样比较适用于远程