WAF技术及应用读书笔记（二）基础知识

第二章 Web应用防火墙
    理解WAF概念、功能、作用、产品性能指标、防护原理。
    
    2.1 WAF简介
        应用防火墙设备主要通过一系列http/https安全策略给web应用建立保护。

    2.2 WAF的功能及特点
        补充了防火墙、IPS设备对Web应用防护能力不足的问题。
        2.2.1 WAF的功能
            防御非授权访问、抗CSRF、SQL inj、XSS。
            识别恶意代码、客串网络优化、合规性检查提醒。
        2.2.2 WAF的特点
            URL过滤分类、流量检查清洗、威胁报警、智能学习、可视化管理、
            网页防篡改、威胁情报协同响应。            
        2.2.3 WAF产品性能指标
            传统的网络层评测方法不适用于WAF产品。
                评测WAF性能重点不在报文解析而在应用协议解析上。
                相关指标，吞吐量pps，并发连接数，新建连接速率CPS。
            
    2.3 WAF部署（绝好的一段话，网站安全一体化整体架构设计）
        2.3.1 串联防护部署模式
            即插即用，透明部署。
            透明代理模式（网桥模式转发）、路由代理模式（网关模式转发）、
            反向代理模式（与透明代理相似、负载均衡）
        2.3.2 旁路防护部署模式
            可用性高、延时小。
            镜像流量然后广播通报威胁流量，联动核心交换阻截。
            
    2.4 WAF防护原理
        2.4.1 Web应用安全监测
            仅靠WAF难以应对紧急爆发的威胁，SaaS模式诞生了。
            分布式概念的SaaS模式，Web应用安全监测服务将是未来的趋势。
        2.4.2 双重边界（绝好的一段话）
            传统的检测、防御和监测。但是云环境难以完成防御环节。
            而云防护对攻击的过滤不够细化，双层边界防护结构诞生了。
            外部流量先经云防护过滤再经本地WAF过滤才能访问的网站群。
        2.4.3 纵深防御体系
            攻击行为是如何一层层绕过的？
            三道防线各部署在哪，防御哪些内容。
                互联网、局域网、操作系统。
            CC攻击和Web攻击行为的区别
            
            
    思考题
        1.为什么要引入Web应用防火墙？
            答：传统的防火墙设备不能完成请求内容的检测和验证。
                WAF补充了防火墙、IPS设备对Web应用防护能力不足的问题。
        2.简述Web应用防火墙的定义。
            答：WAF是通过一系列http/https安全策略给web应用建立保护的设备。
        3.WAF产品常见的五大功能是什么？
            答：防御非授权访问、Web攻击防御、识别恶意代码、客串网络优化、合规性检查提醒。
        4.WAF产品的基本特点有哪些？
            答：URL过滤分类、流量检查清洗、威胁报警、智能学习、
                可视化管理、网页防篡改、威胁情报协同响应。
        5.简述吞吐量、并发连接数、新建连接速率3个性能指标的概念。
            答：吞吐量表示设备每秒的处理数据的速率。衡量单位有带宽MB/S或包每秒pps，
                并发连接数表示设备同时处理点对点连接的最大数目，
                新建连接速率CPS，表示连接每秒最大可创建数。
        6.简述引入双重边界的原因。
            答：传统的检测、防御和监测。但是传统防护难以应对紧急爆发的漏洞和DDoS，
                云防护可以做到这些，但是云环境难以完成细致的攻击手法防御。
                双层边界防护结构诞生了。云防护过滤再经本地WAF过滤才能访问的网站群。
        7.简述双重边界防护原理。        
            答：云防护过滤再经本地WAF过滤才能访问的网站群。
                拦截的3道防线分别是互联网（云）、局域网（WAF）、操作系统（RASP）。
                云负责DDoS流量清洗+本地WAF负责攻击识别和防御+RASP负责响应和阻截攻击行为。