waf防火墙工作原理及配置案例

要搞清楚WAFWeb Application FirewallWeb 应用防火墙的工作原理首先要搞清楚WAF是属于哪一层的安全防护设备。很简单网页属于应用所以WAF是在OSI 七层模型的应用层的防火设备。它通过深度解析 HTTP/HTTPS 流量、基于规则 / 行为 / AI 检测攻击专门防护 SQL 注入、XSS、文件上传、命令注入、CC 攻击等 Web 应用层威胁。一、WAF 核心工作原理1. 流量拦截与代理部署模式WAF 作为反向代理 / 透明代理 / 旁路监听部署在用户与 Web 服务器之间所有请求 / 响应必须经过 WAF反向代理最常用用户访问 WAF IP / 域名WAF 转发到后端服务器可修改请求 / 响应、卸载 HTTPS、隐藏真实服务器。透明网桥串接在链路中不改变网络拓扑流量自动穿透检测。旁路镜像只复制流量检测、不阻断用于日志审计与威胁发现。2. 深度协议解析WAF 完整拆解 HTTP/HTTPS 所有字段不依赖简单端口过滤请求行URL、方法GET/POST/PUT/DELETE、协议请求头Host、User-Agent、Referer、Cookie、X-Forwarded-For请求参数Query String、Form 表单、JSON/XML Body、文件上传响应内容状态码、响应头、HTML/JS/CSS/JSON 正文3. 五大检测引擎1特征规则匹配黑名单内置攻击特征库SQLi/XSS/ 命令注入 /webshell 等用正则 / 关键字匹配union select、script、../、;|||等示例拦截?id1 union select 1,2,3#2白名单校验允许可信 IP、固定 URL、合法参数格式直接放行例仅 10.0.0.0/24 可访问/admin订单 ID 必须为纯数字3行为分析与异常检测请求频率单 IP 1 分钟 100 次 → CC 攻击访问异常频繁 404、扫描路径、非正常跳转会话异常Cookie 篡改、会话劫持、短时间多账号登录4语义 / 语法解析防绕过解析 SQL/JS/ 命令语法识别编码绕过URL 编码、Unicode、Hex、Base64例%27union%20select仍被识别为 SQL 注入5AI / 机器学习高级 WAF学习正常业务模型识别0day 攻击、未知变异攻击4. 决策与执行放行合法请求转发至服务器拦截返回 403/405/501 或自定义页面告警短信 / 邮件 / 钉钉 / Syslog 推送验证码 / JS 挑战区分人机防 CC / 爬虫限流 / 脱敏频率限制、身份证 / 银行卡打码5. 日志与审计记录所有请求IP、URL、参数、规则 ID、动作、时间支持日志检索、报表、溯源、合规审计等保 / PCI DSS二、典型配置案例4 类场景案例 1基础防护SQLi XSS 通用规则适用所有网站开启默认防护1云 WAF阿里云 / 腾讯云控制台配置域名接入 → 开启Web 基础防护开启SQL 注入防护、XSS 防护、命令注入、文件上传防护、目录遍历案例 2后台管理页 IP 白名单需求/admin、/manage仅公司办公 IP202.103.xxx.xxx可访问1云 WAF 配置访问控制匹配字段请求路径逻辑等于 /admin或 包含 /manage匹配条件来源 IP 不属于 202.103.xxx.xxx/32动作拦截403案例 3CC 攻击防护防刷 / 防爬虫需求单 IP 1 分钟 60 次 → JS 验证 120 次 → 封禁 10 分钟1云 WAF CC 防护配置模板名称cc_protect防护模式正常模式检测维度IP URL阈值60 次 / 分钟动作JS 挑战人机验证高级120 次 / 分钟 → 封禁 10 分钟案例 4防盗链 接口参数格式校验1防盗链仅允许本站 Referer匹配字段Referer逻辑不包含 yourdomain.com动作拦截 / 重定向三、与传统防火墙的区别维度WAF传统防火墙FW工作层应用层7 层网络 / 传输层3/4 层检测对象HTTP/HTTPS 内容、参数、行为IP、端口、协议防护能力SQLi/XSS/ 文件上传 / CC/0day端口扫描、DDoS 流量部署位置Web 入口前网络边界另点击下方工具可免费使用阿祥自制的ICT随身工具箱↓常用厂商指令查找、故障码查询、快捷脚本生成一网打尽。不想错过文章内容读完请点一下“在看”加个“关注”您的支持是我创作的动力期待您的一键三连支持点赞、在看、分享~