计算机技术与网络安全研究
             Computer Technology and Cyber Security Research



            行指令后再将真实的数据包转发 Web 服务器，之后由 Web 服务器将信息再回传
            给 WAF 做出应答。
                 端口镜像模式。此模式下的 WAF 设备并不是串接于网络架构中，而是采用
            的旁路方式，当有请求发出时，将数据流量进行镜像复制，发送至 WAF，WAF
            对其进行监控和发出报警，但无法进行拦截操作。这种方式的优势在于减少了端

            到端的延迟，一些对延迟敏感的行业较为适用。
                 （二）软件 WAF
                 软件 WAF 是采用软件的方式安装在 Web 服务器中，以 WAF 监听端口的

            方式进行请求检测和阻断。目前有 ModSecurity 安全模块、Naxsi 安全模块和
            OpenResty 安全模块可以实现软件 WAF。但由于适用于单台服务器，故不适合大
            型网络架构。
                 （三）云 WAF
                 云 WAF 是在云计算技术中产生的。与硬软件 WAF 不同，不需进行环境的

            部署。主要通过移交域名解析，即使用云 WAF 后，访问 Web 应用的数据流量不
            再直接进行 DNS 解析，而是被解析到云 WAF 提供的 CNAME 地址上，在云 WAF
            中对异常数据包进行过滤分析并发起阻拦措施，对正常数据包采用放行操作，让

            其进行正常的 Web 访问。这种方式因为存在被绕行的风险而降低了可靠性。

                 二、Web 应用防火墙检测技术类型

                 WAF 通过使用多种检测手段和防护策略，实现防御 SQL 注入、XSS 跨站脚
            本及 CSRF 跨站请求伪造等 OWASP 常见攻击。常用的检测技术有如下几种：

                 （一）自学习模型
                 自学习模型可以理解为通过建模来让 WAF 动态地学习和积累识别 Web 应用
            攻击的经验，并可应用于实际环境用，抵御常见的 Web 应用攻击。动态学习的

            方式通常是 WAF 厂商在攻击实验室中的集中学习，通过模拟大型 Web 应用的应
            用，让 WAF 学习如 URLs、cookies、参数表元素、sessions、XMLURLs、SOAP 动作、
            XML 元素等。以识别 Web 应用攻击的参数规则和攻击表现形式，以形成有效的
            防护规则。通过集成式学习，积累和提高识别Web应用攻击的能力，降低试错成本。
            之后将规则库定时的推送到该厂商用于实际 Web 应用防护的 WAF 上，进行实际

            的生产应用。但自学习模型是基于规则的 Web 应用攻击分析和识别，此种检测


             186
             186