WAF

大家好，今天聊聊WAF。 WAF是Web Application Firewall的缩写, 即Web应用防火墙。 相对于传统防火墙在七层之下做流量的监控和封堵， WAF直接工作在第七层， 也就是应用层，或者更确切的说，WAF主要是针对HTTP协议之上的Web应用做防护，所以才有WAF一说。

WAF的主要职能是通过分析Web应用的进出流量，实时发现并封堵恶意请求和响应，比如常见的SQL注入攻击、XSS攻击（也就是“跨站脚本攻击”）。

福强老师认为，WAF产品的核心竞争力来自于它日积月累的规则集合，这东西就跟杀毒软件的病毒库一样，量不够，药效肯定大打折扣。

WAF因为要对Web应用做防护，所以，一般会部署在Web应用的前面， 它的产品形态无非硬件和软件两种。而软件层面，基于Nginx做扩展开发是常见的做法，当然，也有直接以反向代理（即Reverse Proxy）的形式自研的产品。

WAF虽好，但也防护不了所有针对Web应用的攻击和安全威胁，比如之前log4j类库的漏洞，单纯靠WAF完全就是束手无策。