Web应用防火墙（WAF）不要理解错了

作为作者的我受到了一部分人的藐视，直言让我好好补课，没办法，我们都以观众老爷们为重，不得不去补课学习，现在，我，满血复活，带着10000的血量站在你们面前让你们说，看看究竟谁的肚子里墨水多，究竟谁肉，哼！

我出来了，都在高低给我等着！

我先买点药剂哈，怕你们人多！

哼哼哼！来了！

首先呢，要知道他们有什么区别，那我们得知道他们是干什么的，有什么作用，然后再详细的做一下比较，慢慢来了解。

官方解释：

云盾Web应用防火墙（WebApplicationFirewall，简称WAF）基于云安全大数据能力，用于防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，并过滤海量恶意CC攻击，避免您的网站资产数据泄露，保障网站的安全与可用性。

小哥我的：

首先这是一款针对Web应用进行防护的安全产品，在我们服务器上的网站被人遭到攻击的时候，我们想到了它，了解了它。它基于云架构实现，提供针对Web应用服务器发起的SQL注入、XSS、命令执行漏洞、肉鸡，弱口令、后门等等攻击的防护手段；同时也能缓解HTTP/HTTPS的Flood攻击对服务器造成的性能压力。这一点，等你的服务器遭到攻击后，你会深有体验，CPU时时刻刻爆满，服务器卡到不能自理，你自己爆炸想辞职的冲动都有。

知道了这些我们看看它详细的功能：

1、Web应用防护攻击

通用Web攻击防护、0day漏洞虚拟补丁、网站隐身。

防护OWASP常见威胁。

内置多种防护策略，可选择进行SQL注入、XSS跨站、Webshell上传、后门隔离保护、命令注入、非法HTTP协议请求、常见Web服务器漏洞攻击、核心文件非授权访问、路径穿越、扫描防护等安全防护。

0day漏洞快速防护

针对高危Web0day漏洞，专业安全团队24小时内提供虚拟补丁，自动防御保障服务器安全。

网站隐身

通过域名DNS牵引流量，不对攻击者暴露服务器地址、避免绕过Web应用防火墙直接攻击。

2、缓解恶意CC攻击

过滤恶意的Bot流量，保障服务器性能正常

低误杀的防护算法

不再是对访问频率过快的IP直接粗暴封禁，而是综合URL请求、响应码等分布特征判断异常行为

恶意特征攻击100%拦截。

针对请求中的常见头部字段，如IP、URL、User-Agent、Referer、参数中出现的恶意特征配置访问控制。

专属业务的定制规则

企业版可设置针对某具体URL业务的正常访问频率规则。

强大的威胁情报

可定制化提供对海量恶意IP黑名单、恶意爬虫库的封禁能力。

3、业务安全保障

提供业务风控方案，解决接口防刷、防爬等业务安全风险

自动化快速接入

无需修改服务器源码，调用API接口等复杂操作，一键配置，自动防护。

良好用户体验

针对正常的浏览器或者APP访问，无需访问者任何额外操作；针对疑似机器人访问行为，浮层滑块验证。

精准拦截

强大的设备指纹、人机识别能力保障业务运营活动正常开展。

4、HTTPS优化

网站一键HTTPS、HTTP回源降低源站负载压力

支持网站一键HTTPS

源站如果为HTTP网站，上传证书私钥后，可一键改造为HTTPS，无需服务器改造。

支持HTTP回源

支持HTTPS业务流量以HTTP回源，降低源站的负载消耗，优化业务性能。

5、HTTP/HTTPS访问控制

多维度进行流量的精准控制

IP访问控制

支持对指定IP或网段，以及恶意IP的封禁或者加白

URL访问控制

支持对指定URL地址的禁止访问或加白

恶意CC变种攻击

支持如wordpresspingback等常见CC变种型攻击防护

恶意爬虫防护

封禁libcurl，python脚本等构造的恶意访问

管理后台保护

可设置对某些特定URL地址(如管理员登录后台)指定只允许某些IP访问

盗链防护

避免网站资源被其他网站恶意链接、使用不存在链接的恶意访问。

拦截黑客针对不存在的URL地址发起的大量恶意访问。

提供针对指定地区的IP访问封禁。

6、日志管理

支持全量访问日志检索、一键查询

全量访问日志

提供全量日志智能检索，一键搜索异常请求及安全攻击拦截、了解当前网站业务状况。

当然说了这么多，我们主要是为了【防爬、防刷，防CC攻击、防数据泄露、放网页篡改、木马后门，ODay漏洞修复】去使用它的，黑客太可恶，看不得你的网站流量高，更瞧不起，有本事去黑淘宝啊，看马云爸爸怎么收拾你，哼！

相信大家一般看到的就是Web应用防火墙（WAF）的字眼，开通Web应用防火墙的时候他会提示设置云盾Web应用防火墙（WAF），那么它究竟是不是它呢？

我们先来看看阿里云官方给的解释：

WAF是阿里云云盾提供的Web应用防火墙，帮助您监控网站上的HTTP/HTTPS访问请求，并通过自定义过滤规则和启用Web攻击防护等功能，帮助您部署网站访问控制。

还给了具体的步骤来使用WAF：

开通WAF并将网站接入WAF，使网站的访问流量全部流转到WAF进行监控。

完成接入后，配置WAF防护功能。WAF将按照配置的防护策略检测并过滤恶意访问请求，只放行合法请求到源站服务器。

WAF正常工作后，随时查看WAF安全报表，了解业务和安全信息；或通过设置功能，查看WAF资源使用情况，调整告警配置等。

应用WAF最佳实践，完善安全管理；联系安全专家，解决技术问题。

那么知道了这些我们再来看看他有哪些详细的功能：

WAF提供多种防护功能，您可以随时调整已接入的网站的防护配置，按照实际需求过滤网站访问请求。

也可以自定义ACL访问控制原则，直接使用已封装好的常见Web防护功能，方便我们直接使用。

说明：

WAF使用多层过滤的机制，即您在启用WAF并配置防护功能后，一个客户端请求在经过WAF时，实际上按顺序经过了多层过滤。默认的防护检测顺序为：精准访问控制CC防护Web应用攻击防护。

功能详细：

1、精准访问控制、黑白名单配置

自定义访问规则，根据客户端IP、请求URL以及常见的请求头字段过滤访问请求。

2、Web应用攻击防护

帮助您防护SQL注入、XSS跨站攻击等常见的Web攻击。

3、CC安全模式、自定义CC防护

帮助您防护针对页面请求的CC攻击。

4、大数据深度学习引擎

对请求做语义分析，检测经伪装或隐藏的恶意请求，帮助您防护通过攻击混淆、变种等方式发起的恶意攻击。

5、高频Web攻击IP自动封禁

帮助您自动封禁在短时间内进行多次Web攻击的客户端IP。

6、目录扫描防护

帮助您自动封禁在短时间内进行多次目录遍历攻击的客户端IP。

7、扫描威胁情报

帮助您自动封禁来自常见扫描工具或阿里云恶意扫描攻击IP库中IP的访问请求。

8、封禁地区

帮助您一键封禁来自指定中国省份（地区）或海外地区的IP的访问请求。

9、数据风控

帮助您对抗机器威胁，如垃圾注册、账号被盗、活动作弊、垃圾消息等欺诈行为。

10、网站防篡改

帮助您锁定需要保护的网站页面，被锁定的页面在收到请求时，返回已设置的缓存页面。

11、防敏感信息泄露

帮助您过滤服务器返回内容（异常页面或关键字）中的敏感信息，如身份证号、银行卡号、电话号码和敏感词汇等。

12、主动防御

采用阿里云自研的机器学习算法自动学习域名的合法流量，为域名自动生成定制化的安全策略，防护未知攻击。

13、安全报表

WAF提供方便的数据可视化和统计功能，方便您查看网站业务信息和安全统计数据。

14、提供实例层面的设置功能

WAF提供实例层面的设置功能，帮助您了解和管理WAF实例资源。可通过短信，邮件接收。

15、获取访问者真实IP

启用WAF后，源站服务器收到的所有请求都来自WAF实例，无法直接显示客户端IP。

16、源站保护

启用WAF后，源站服务器IP对客户端是隐藏的。如果您的源站服务器IP已公开或不慎泄露，攻击者可能越过WAF，直接对您的源站发动攻击。配置源站保护可以有效防护这种情形。

17、同时部署WAF和DDoS高防IP

18、同时部署WAF和CDN

通过上述的说明，你还觉得他们是两种产品吗？其实，他们本来就是属于一种产品，顶多就是，举个例子web应用防火墙就像是JavaScript，而WAF就是JQuery，是js的一个库，里面封装了各种方法，就是用最少的代码解决更多的事情。而WAF也一样，通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。并通过自定义过滤规则和启用Web攻击防护等功能，帮助您部署网站访问控制。让你更便捷、更准确、更有效的监控网站，同时提供更多的防护功能，让你根据自己的需求来过滤网站访问请求。

当你购买Web应用防火墙后，在WAF管理控制台将域名添加并接入WAF，即可启用Web应用防火墙。启用之后，您网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。

千万不要看下面这些：说法都是错误的。

错误的说法

错误的说话

看我的，我才是正确的！！！

观众老爷们点个赞呗。