WEB应用防火墙优缺点浅析

随着网络的普及，网站的安全也面临着很大的挑战；几乎一夜间千树万树梨花开，“网站保护”、“防篡改”、“应用防火墙”等关键字成为了安全的代名词。

应用防火墙也叫Web应用防火墙（Web Application Firewall，缩写WAF），是一种新兴的网站安全产品，主要功能为防跨站攻击、防SQL注入攻击等。WAF的火爆登场，各式各样的应用防火墙层出不穷。从存在型态上来分，可以为硬件式和软件式；根据技术原理的不同，硬件型态的又分为旁路式和串联式，软件型态的又分为代理式和嵌入式。四种不同实现技术，各有其优缺点，下面将一一分别解说。

一、硬件型态

1. 旁路式

优点：

部署简单：将WAF 设备通过一根网线直接联接到核心交换机上，就可以完成部署。

不影响网速：旁路式主要是通过实时的从交换机上复制数据包，然后进行分解、分析有无攻击行为。

缺点：

无法独立完成防御功能：旁路式的实现方式无法完成对攻击行为阻断，必须通过防火墙的协助才能完成阻断功能。

丟包的概率较高：丢包率取决于当前网络流量和WAF 分析的效率；单位流量越大WAF 处理速度越慢，丢包率就越大。

无法支持HTTPS ：不同的网站所采用的key 都是不同的，所以旁路式的WAF 是无法解析HTTPS 数据包。

免费使用：

无

2. 串联式（网关式）

优点：

部署简单：顾名思义，串联就是串联于网关处。

可主动防御：由于是串联的方式接入，所以所有访问的数据都要先经过它的过滤器 才可到达目的地。

无丟包问题：串联的方式决定了不可能存在丢数据的问题。

缺点：

数据流量成为瓶颈：网络上的所有的数据包都要经过WAF ，所以WAF 支持带宽就成为了现有网络的最大带宽。

不支持HTTPS ：同样无法解决HTTPS 数据包。

免费使用：

无

二、软件型态

1. 代理式

优点：

实现成本低：不需要硬件设备的投入，节省硬件开支。

可实现主动防御：和串联式的硬件相同，只不过串联的位值不同，一个是网关处， 一个是网络和服务器之间。

无丟包问题：同样不存在丢包的问题。

缺点：

部署复杂：要在服务器上完成代理软件，然后设置代理的端口和服务器的端口，代理先获取请求然后再转发服务器。

不支持HTTPS ：同样无法持HTTPS 数据包的解析。

免费使用：

国外Web Wall 1.2.07 ，下载地址：http://download.cnet.com/Web-Wall/3000-10435_4-10544302.html 。

2. 嵌入式

优点：

实现成本低：同样无硬件的开支。

可实现主动防御：工作于服务器内部，可以在数据处理之前进分析过滤。

无丟包问题：串联的特点决定了无丢包问题。

支持HTTPS ：由于系统工作于服务器内部，所以很方便可以获取到解密之后的数据包，对HTTPS 的支持也就水到渠成了。

缺点：

部署复杂：系统的部署要根据操作系统和服务器来进行相应的处理。

免费使用：

国内的InforGuard WebWall提供免费版本，官方网站http://www.inforguard.com