web應用防火牆檢測異常或惡意流量主要是基於以下幾個模型:
第一,如果WAF採用黑名單的做法,它只會阻止列表中包含已知攻擊的請求。衆所周知的攻擊(例如SQL注入、拒絕服務和跨站腳本)通常包含容易檢測的某些字符。黑名單很好用,只要WAF支持這種攻擊方法。並且,由於威脅經常變化,必須保持黑名單的更新。
其二,如果WAF使用白名單的做法,它只會允許滿足列表或配置中標準的請求。這種檢測方法需要部署期間前端的更多工作,但通常這是更安全的方法,因爲它會阻止一切沒有被定義爲可接受的事物。這兩種方法都應該由企業的技術團隊來配置。
另外WAF如何響應攻擊或異常也很關鍵。WAF提供多種響應選項,這些選項在配置界面容易變更。通常情況下,WAF會以某種方式與請求或會話進行交互(當發現攻擊或異常時),例如終止與應用服務器的會話或阻止單個請求。每種方法都有優點和缺點,對於企業來說,瞭解哪些方法可行很重要。