web应用防火墙检测恶意流量的方法

web应用防火墙检测异常或恶意流量主要是基于以下几个模型：

第一，如果WAF采用黑名单的做法，它只会阻止列表中包含已知攻击的请求。众所周知的攻击(例如SQL注入、拒绝服务和跨站脚本)通常包含容易检测的某些字符。黑名单很好用，只要WAF支持这种攻击方法。并且，由于威胁经常变化，必须保持黑名单的更新。

其二，如果WAF使用白名单的做法，它只会允许满足列表或配置中标准的请求。这种检测方法需要部署期间前端的更多工作，但通常这是更安全的方法，因为它会阻止一切没有被定义为可接受的事物。这两种方法都应该由企业的技术团队来配置。

另外WAF如何响应攻击或异常也很关键。WAF提供多种响应选项，这些选项在配置界面容易变更。通常情况下，WAF会以某种方式与请求或会话进行交互(当发现攻击或异常时)，例如终止与应用服务器的会话或阻止单个请求。每种方法都有优点和缺点，对于企业来说，了解哪些方法可行很重要。