WAF基本工作原理

　　WAF的防护原理是通过改变用户域名的DNS解析地址来将Web流量牵引到云的WAF引擎集群，经过检测后再回源至真正的Web服务器。

　　Web防火墙产品部署在Web服务器的前面，串行接入，对硬件性能上要求高，但得益于云上WAF性能可弹性伸缩的特点，通过负载均衡相当于性能是无上限的。另外，为了不影响Web服务，还了Bypass等功能。

　　WAF了多种防护能力，包括OWASP常见攻击(SQL注入、XSS跨站脚本等)恶意扫描、爬虫泄密、站挂马、CC攻击、0-Day漏洞防御&异常行为检测等，帮助客户轻松抵御常见Web攻击。同时，部分业界知名的WAF内置规则+AI双引擎，并且集成了多种领先的检测算法和功能，威胁检出率超过95%以上。

　　基于规则的WAF

　　当前市场上waf产品核心的防护机制是规则，每一个请求、会话，经过抓包，开包检查，每一项规则都会检查到，一旦检查不通过，就会被认为是非法访问，拒绝处理。

　　基于规则的WAF很容易构建并且能有效的防范已知安全问题。如果用户之前有用过传统防火墙或者自建防火墙，就可以将以前的规则设置的经验，应用到云上WAF中。因此，当我们要制定自定义防御策略时使用它会更加便捷和有效。为了确认每一个威胁的特点，需要一个强大的规则数据库支持。WAF生产商维护这个数据库，并且会自动更新的工具。业界领先的WAF厂商，还会结合AI能力，给用户智能开启和推荐适合的规则，提升防护效率。

　　WAF面临的挑战

　　WAF当前需要应对一个挑战就是入侵检测识别率的问题，这个指标不同的厂商都有不同的计算方式，并不是一个容易衡量的指标。因为从攻击者的角度，攻击是具有相当的隐蔽性的，对于页挂马、新型病毒的植入，Web应用防火墙容易漏报误报;对于从来没有被发现过、未知的攻击方式，只能在攻击发生的初期进行快速响应，进行阻断。