热门搜索：云安全接入图文教程获取访客真实IP 日志下载 https 非80端口 Websocket 暴力破解 ICP备案黑名单白名单

WAF 与传统防火墙的区别与联系

2024年12月7日
技术文章

（一）防护对象

传统防火墙：主要关注网络层和传输层的防护。它根据源 IP 地址、目的 IP 地址、端口号、协议类型（如 TCP、UDP）等网络层和传输层的信息来控制网络流量。例如，传统防火墙可以设置规则允许或禁止来自特定 IP 网段的 TCP 流量访问内部网络的某个端口，像禁止外部网络中未经授权的 IP 访问公司内部服务器的 3389 端口（远程桌面协议端口），以此来防止外部非法访问。
WAF：侧重于保护 Web 应用程序，聚焦在应用层（OSI 模型中的第七层）。它能够理解 HTTP/HTTPS 协议相关的内容，如 URL、HTTP 请求方法（GET、POST、PUT 等）、请求头、请求体以及响应内容等。例如，WAF 可以检测并阻止恶意用户通过在 URL 参数中注入 SQL 命令来攻击 Web 应用的数据库，或者防止攻击者在 POST 请求的表单数据中插入恶意脚本进行跨站脚本攻击（XSS）。

（二）检测能力

传统防火墙：对应用层协议的理解有限，很难深入分析应用层数据的内容。它主要通过端口和协议过滤等简单方式来判断流量是否合法。例如，传统防火墙可能允许所有的 HTTP 流量通过 80 端口，但无法识别 HTTP 请求中的恶意内容，如含有恶意 SQL 语句的 URL。
WAF：具备深度的内容检测能力。它可以解析应用层协议中的各种元素，通过检查用户输入的数据是否符合预期的格式和内容来识别潜在的攻击。比如，WAF 可以对用户输入的表单数据进行语法分析，检查是否存在 SQL 注入、命令注入、XSS 等攻击模式。还可以检测异常的用户行为，如短时间内大量重复的登录尝试，这可能是暴力破解密码的迹象。

（三）规则设置

传统防火墙：规则通常围绕网络地址、端口和协议进行设置。例如，允许公司内部网络的某一 IP 段访问外部网络的 DNS 服务器（端口 53）用于域名解析，或者禁止外部网络访问内部某些特定的敏感服务器端口。这些规则相对比较固定，主要基于网络拓扑结构和基本的安全策略。
WAF：规则设置更加复杂和细致，需要深入了解 Web 应用的业务逻辑和可能出现的安全威胁。规则可能包括对特定 URL 路径的访问控制、对用户输入参数的验证规则、对不同 HTTP 请求方法的权限管理等。例如，对于一个电商网站的 WAF 规则可能会规定只有经过身份验证的用户才能访问 “/order” 路径下的订单处理页面，并且对提交订单的 POST 请求中的商品数量、价格等参数进行严格的验证，防止恶意篡改。

（四）应用场景

传统防火墙：广泛应用于网络边界防护，用于隔离内部网络和外部网络，保护整个内部网络的安全。比如，在企业网络的边缘部署传统防火墙，阻止外部网络未经授权的访问，同时控制内部网络用户对外部网络的访问权限，防止内部网络用户访问恶意网站或被外部攻击者利用作为跳板来攻击其他网络。
WAF：主要应用于保护 Web 应用服务器，通常部署在 Web 应用服务器的前端，直接对访问 Web 应用的请求进行过滤和检测。例如，在一个大型的互联网公司中，WAF 会部署在对外提供服务的 Web 应用（如网站、Web API 等）的前端，确保只有合法的请求能够到达 Web 应用服务器，防止各种针对 Web 应用的攻击，如注入攻击、XSS 攻击、文件包含攻击等。

二、WAF 与传统防火墙的联系

（一）协同工作

防护体系互补：在网络安全防护体系中，WAF 和传统防火墙是相互补充的关系。传统防火墙为网络提供基本的边界防护，过滤掉大部分不符合网络访问规则的流量，如阻止来自恶意 IP 的连接请求。WAF 则在传统防火墙之后，对通过防火墙的 Web 应用相关流量进行更精细的检测和防护，防范那些能够绕过防火墙或者利用 Web 应用漏洞的攻击。例如，传统防火墙可能允许合法的 HTTP 流量进入内部网络，但 WAF 会对这些 HTTP 流量进行进一步检查，防止其中包含的恶意脚本或 SQL 注入攻击到达 Web 应用服务器。
多层防御策略：它们共同构成多层防御体系。这种多层防御的理念是通过不同层次的安全设备和策略来增加攻击者的攻击难度。就像古代城堡的防御一样，传统防火墙相当于城堡的外墙，阻挡外部的大部分攻击；而 WAF 则是城堡内部的守卫，对进入城堡内部的与 Web 应用相关的潜在威胁进行防御，从而为 Web 应用提供更全面的安全保护。

（二）管理和维护

安全策略整合：在安全策略的管理方面，WAF 和传统防火墙都需要根据企业的安全需求和网络环境变化进行规则更新和维护。虽然它们的规则侧重点不同，但在整体安全策略上可以相互配合。例如，当企业发现某个外部 IP 网段频繁发起恶意攻击时，不仅可以在传统防火墙中设置规则禁止该网段的访问，还可以在 WAF 中加强对来自该网段的流量的检查力度，甚至对相关的攻击特征进行更详细的记录，用于后续的安全分析。
监控和报警：两者都具备监控和报警功能。传统防火墙可以监控网络连接的状态、流量大小等信息，当出现异常的网络连接（如大量的 SYN Flood 攻击导致的半连接状态增多）时发出警报。WAF 则可以监控 Web 应用的访问请求，当检测到潜在的攻击（如频繁的 XSS 攻击尝试）时也会发出警报。这些警报信息可以整合到企业的安全管理系统中，帮助安全人员及时发现和处理安全事件。