关于安全:Web应用程序防火墙WAF与传统防火墙的区别

因为WEB利用防火墙（WAF）的名字中有“防火墙”三个字，因而很多人都会将它与传统防火墙混同。实际上，二者之间的有着很大的差异。传统防火墙专一在网络层面，提供IP、端口防护。而WAF是专门为爱护基于Web的应用程序而设计的，它不像传统的防火墙基于互联网地址和端口号来监控和阻止数据包。WAF查看每一个传入的数据包的内容来检测SQL注入、跨站点脚本、会话劫持、篡改参数或URL等类型的攻打。

WAF与传统防火墙之间的区别

一、直观差别

WAF和传统防火墙位于网络上的不同地位。传统防火墙位于网络边缘，而WAF间接位于用户和Web服务器之间。

二、性能差别

传统防火墙爱护网络外围并应用协定信息过滤流量。你能够依据IP范畴、端口、ICMP（Internet管制音讯协定）类型等设置容许通信的规定。它从关上连贯到敞开都会监督流动。

长处：阻止未经受权的协定、端口和IP地址，提供VPN反对。

毛病：只有承受/回绝规定，无奈解密流量，在独自部署SSL、IDS和IPS时查看速度变慢，不善于阻止“客户端”攻打，只能看到数据包头，从而容易受到SQL注入攻打。

WAF爱护网站和API。它被配置为反向代理，并在所有HTTP(s)申请达到Web服务器之前查看它们。它通过验证码测试拦挡或测试不规则流量，以确保流量来自人类而不是机器人。

长处：可定制的规定、条件过滤、限度上传大小、能够解密和查看SSL流量、能够集成IDS和IPS、能够查看数据包数据。

毛病：共享服务器可能导致再次感化，针对这点倡议说应用独享服务器，在各个方面都是会有肯定的安全性保障。

三、操作差别

传统防火墙进攻用于抵挡下类威逼：
1.未经受权的网络拜访
2.中间人攻打
3.权限晋升
4.网络层面的DDoS攻打

WAF用于抵挡下类威逼：
1.SQL注入
2.跨站脚本（XSS）
3.跨站伪造
4.网站级别的 DDoS 攻打
5.目录遍历

四、算法差别

传统防火墙运行无状态/有状态查看算法、数据包过滤算法和代理算法。WAF运行基于签名的算法、启发式算法和异样检测算法。

传统防火墙的性能，次要是及时揭示和解决计算机运行中可能存在的平安危险和数据传输等问题，所以传统防火墙在应用层不起作用，它次要针对的是OIS模型的第三、四层，即网络层和传输层。因而，传统防火墙天然无奈了解web应用程序的编程语言，比方HTML、SQL等等，也就无奈了解http会话，从而无奈应答SQL注入、跨站脚本、网页篡改等应用层的攻打。而Web利用防火墙是专门为爱护基于WEB的应用程序而设计的，次要作用于OSI模型第七层的应用层，旨在填补传统防火墙无奈解决的安全漏洞。因而，传统防火墙和WAF相互之间互补，往往能搭配应用。