WEB安全知识：WAF多种多样，你的网站需要怎样的WAF？

WEB应用防火墙，即WAF，是用于WEB安全防护的最佳手段。

那么WAF是如何保护web安全的？保护原理是什么？

WAF保护网站的的理

WAF保护网站的原理其实很简单：

网站在未进行WAF防护之前，访问者直接访问到网站。

接入WAF之后，WAF会位于访客和网站之间，访问者先访问到WAF，WAF会先检查来访问数据是否有包含恶意内容，如果没有则允许访问，放行到web，否则被WAF拦截。

就像乘动火、飞机一样，必须先经安检测，WAF充当的就是安检的角色。

WAF防护类型

就像安检也有多各种方式一样，有的只需经过安检门、不需要停留，有的则需要停下来，经过人工安检。

WAF的检测方式也一样，有反向代理模式，类似人工安检；有透明代理模式，类似安检门。

WAF的防护强度

不同的WAF，防护强度也不同。

就像安检门，只是进行一下机器扫描，而如果是飞机登机安检，需要把手机、皮带也拿出来检查。

传统WAF，就类似安检门，检查常规的SQL注入、XSS、文件上传等等。

新一代WAF，就像飞机登机安检，检测等级更高，除了检测传统WAF的防护项，还有更多检测功能，比如最近流行的WAF：ShareWAF，具有大数据检测、JS混淆、网页源码加密功能等等，自然防护功能更强，可以检测更多的威胁。

WAF的防护形态

不同级别的安全需求，可以用不同级别的WAF产品，大网站，需要大防护，小网站，小防护即可。

WAF有不同的产品形态，有硬件、有软件、有云WAF。

大型网站、安全性要求高的网站，一般用硬件WAF或软件，

中型网站，一般用软件；

小型网站，一般用云WAF；

总结

WAF，Web应用防火墙，就是网站的防护程序，保护网站安全，防止各种网络***。

web防护能力有强弱，保护范围有大有小、价格有高有低，不同的网站用不同的WAF防护。