明御Web应用防火墙WAF
来源:
7.公司产品/0.思维导图/明御Web应用防火墙WAF.xmindtmp/xmind/明御Web应用防火墙WAF-outline.json明御Web应用防火墙WAF-V3.0R05产品白皮书-01_110321.docx明御®Web应用防火墙产品解决方案_171226_151750.docx明御WEB应用防护墙WAF-V3.0R05招标参数-20240925-01_144258_161538.docx- 网络安全整体结构理解图
0. 产品介绍思路
接着 明御防火墙DAS-TGFW、明御入侵防御系统IPS 和 明御入侵检测系统IDS 往下讲,防火墙主要解决网络边界“能不能进出”,IPS 偏网络攻击检测和串联阻断,IDS 偏旁路检测告警;WAF 则专门保护 Web 应用和 API 入口,重点看 HTTP/HTTPS 七层业务流量。
客户只要有官网、门户、OA、ERP、CRM、网上办事大厅、APP 后台、API 网关、互联网暴露的 Web 服务器,就会遇到 SQL 注入、XSS、文件上传、WebShell、命令注入、Cookie 篡改、爬虫、撞库、CC 攻击、0day 和 HTTPS 加密攻击等问题。明御 Web 应用防火墙的作用就是部署在 Web 业务前面,识别、拦截、审计这些应用层攻击,同时提供资产梳理、策略防护、日志报表、集中管理、高可用和云/插件部署能力。
在等保 2.0 里,它主要支撑安全区域边界中的 Web 入口防护、入侵防范、恶意代码防范、安全审计,以及安全计算环境中 Web 应用访问控制、资源控制和审计留痕。部署位置一般在互联网边界、DMZ、公网 Web 服务器前、负载均衡前后、API 网关前后或云上 Web 业务入口;部署方式可以是透明串接、反向代理、路由牵引、旁路镜像、插件部署、云环境软件部署、集群和集中管理。
1. 一句话总览
明御Web应用防火墙 WAF 是守在 Web/API 业务入口前的七层应用安全防护设备:通过语义分析、BOT 防护、威胁情报、行为分析和基础特征等引擎,检测并拦截 SQL 注入、XSS、命令注入、文件上传、WebShell、Cookie 篡改、CC、爬虫、撞库和 0day 等 Web 攻击。
通俗记忆:
WAF = 站在Web应用前面 + 看HTTP/HTTPS + 挡应用层攻击 + 留日志证据它不是普通防火墙,也不是只看网络层攻击的 IPS。它的核心价值是:把 Web 业务入口变成可防护、可审计、可运营的安全入口。
2. 产品是干什么用的
WAF 主要解决四类问题:
| 客户问题 | 产品做法 | 输出结果 |
|---|---|---|
| Web 业务暴露在公网,容易被攻击 | 部署在 Web/API 入口前,对 HTTP/HTTPS 流量做七层检测 | Web 攻击拦截、攻击告警、应用防护日志 |
| 防火墙/IPS 难覆盖应用层攻击 | 通过语义分析、基础特征、威胁情报和行为分析识别业务层攻击 | SQL 注入、XSS、命令注入、WebShell、文件上传等防护 |
| 站点多、域名端口复杂,资产不清 | 自动发现 Web 服务器、协议、IP、端口、域名并生成防护配置 | Web 资产清单、站点防护策略、自动部署 |
| HTTPS、BOT、CC、0day 变多 | 支持证书代理、国密 HTTPS、BOT 防护、CC 行为分析、虚拟补丁 | 加密流量防护、恶意机器人拦截、未知攻击缓解 |
一句话定位:WAF 是对外 Web 业务和 API 的应用层安全网关,专门处理七层 Web 攻击、防护策略、访问审计和高可用接入。
3. 在等保 2.0 里哪里体现
WAF 在等保 2.0 中主要体现于 边界防护、入侵防范、恶意代码防范、安全审计、应用访问控制和资源控制。
| 等保相关方向 | WAF 对应能力 | 怎么理解 |
|---|---|---|
| 安全区域边界 | 部署在互联网入口、DMZ、Web 服务器前或负载均衡前后 | 对外暴露的 Web 入口不能裸奔,需要专门的应用层防护 |
| 入侵防范 | 检测 SQL 注入、XSS、命令注入、文件上传、WebShell、反序列化等攻击 | 解决传统防火墙看不深、IPS 不够贴近业务的问题 |
| 恶意代码防范 | 识别 WebShell、恶意上传、扫描器、漏洞利用 IP、恶意爬虫 | 从 Web 请求入口减少恶意代码落地和利用 |
| 安全审计 | 记录应用防护日志、访问日志、攻击报文、源 IP、目标站点、攻击类型 | 支撑测评、溯源、事件复盘和责任追踪 |
| 访问控制与资源控制 | 站点策略、URL 白名单、IP 黑白名单、CC 防护、请求速率与集中度检测 | 防止异常请求消耗业务资源,限制恶意访问 |
| 合规与国产化 | 支持 IPv4/IPv6、国密证书、国产 CPU 和国产操作系统适配 | 适合政企、金融、教育、医疗等合规和信创场景 |
注意边界:
Important
WAF 主要保护 HTTP/HTTPS Web 应用流量,不能替代主机加固、漏洞扫描、数据库审计、API 审计和全网流量检测。旁路镜像模式只能检测和审计,不承担实时阻断;需要拦截时应选择透明串接、反向代理、路由牵引或插件阻断等方式。
4. 产品功能有几个大的功能模块
按 XMind、白皮书和招标参数,可以记成 10 个大功能模块:
| 模块 | 作用 |
|---|---|
| Web 资产梳理与自动防护 | 自动发现 HTTP/HTTPS 站点、服务器 IP、端口、域名,快速生成防护策略 |
| 基础 Web 攻击防护 | 防 SQL 注入、XSS、命令注入、文件上传、目录遍历、WebShell、OWASP TOP10 等 |
| 语义分析引擎 | 从词法、语法、上下文还原变形攻击,降低正则签名的误报和漏报 |
| 行为分析与 CC 防护 | 基于 URL、请求头、目标 IP、请求方法、速率、集中度、离散度识别自动化攻击 |
| BOT 防护 | 识别爬虫、扫描器、无头浏览器、脚本扫描、暴力破解等恶意机器人 |
| 威胁情报防护 | 联动云端恶意 IP、代理、扫描器、漏洞利用、爬虫等情报,识别可疑访问 |
| HTTPS 与国密防护 | 支持 HTTPS 代理、证书绑定、SSL 算法探测、国密证书和 SSL 加速卡 |
| Cookie 与客户端安全 | Cookie 签名/加密、防篡改、防劫持,支持 HttpOnly、Secure 和安全响应头 |
| 日志审计与报表 | 应用防护日志、访问日志、慢攻击日志、防篡改日志、系统操作日志、Syslog 外发 |
| 集中管理与高可用 | 中心机/节点机、策略统一下发、节点状态监控、HA、VRRP、集群、Bypass |
也可以简化成五大检测能力:
基础特征引擎 -> 识别已知Web攻击
语义分析引擎 -> 识别绕过变形和未知攻击
行为分析引擎 -> 识别CC、暴力破解等自动化行为
BOT防护引擎 -> 识别爬虫、扫描器和恶意机器人
威胁情报引擎 -> 识别恶意IP、代理、漏洞利用和可疑访问5. 产品部署在哪里
结合网络结构图,WAF 应部署在 Web 业务入口和 Web 服务器之间,也就是外部访问进入 Web/API 业务之前,能看见并处理 HTTP/HTTPS 流量的位置。
常见位置:
- 互联网边界 / 边界安全区:保护公网 Web、门户、APP 后台、API 入口,是外部攻击进入企业的关键入口。
- DMZ 隔离区:部署在公网 Web 服务器、反向代理、负载均衡或 API 网关前后,保护对外服务区。
- 负载均衡前端:先由 WAF 防护,再进入负载均衡,适合集中保护统一入口。
- 负载均衡后端:WAF 位于负载均衡与真实 Web 服务器之间,便于识别具体受攻击服务器,也便于分布式扩容。
- 数据中心 / 业务系统区:保护 OA、ERP、CRM、业务门户、内部 Web 系统等关键应用。
- 云环境:在公有云、私有云、混合云中以软件包或镜像方式部署,保护云上 Web 业务。
- Nginx / 反向代理层:通过插件方式接入 Nginx,在不大改网络的情况下实现检测和阻断。
记忆图:
外部访问
-> 边界路由/网关/防火墙
-> WAF
-> 反向代理/负载均衡/API网关
-> Web服务器/业务系统
-> 数据库/后端服务6. 产品部署方式有哪些
| 部署方式 | 适用场景 | 记忆点 |
|---|---|---|
| 透明串接 / 透明代理 | 希望串在链路中实时防护,但尽量不改变网络结构 | 业务口可不配 IP,不修改源目 IP,支持硬件/软件 Bypass |
| 透明桥 | 作为二层桥接设备接收和转发流量 | 更贴近无感接入,保持原始通信不变 |
| 反向代理 | 公网地址映射到 WAF,由 WAF 代理访问后端服务器 | 隐藏真实服务器 IP,常用于 Web 站点统一入口防护 |
| 路由牵引 | 通过策略路由把访问 Web Server 的流量牵引到 WAF | 适合无法直接串接但需要实时防护的场景 |
| 旁路镜像 | 交换机镜像 Web 流量到 WAF | 只检测、告警、审计,不阻断,适合先观察或查漏补缺 |
| 云环境软件部署 | 公有云、私有云、混合云 | 软件安装包或镜像交付,常采用反向代理方式 |
| 插件部署 | Nginx 分发、大流量、希望少改网络 | 插件把流量镜像给 WAF 集群,WAF 返回放行/阻断指令 |
| 集群部署 | 高并发、大流量、多站点 | 反向代理或插件场景下便于扩容和负载分担 |
| 集中管理部署 | 多区域、多台 WAF、多种模式混合部署 | 中心机统一策略、日志、节点状态和安全事件分析 |
| 高可用部署 | 关键 Web 业务不能中断 | 透明代理支持主主/主备/会话同步,反向代理/路由牵引支持 VRRP |
核心部署口径:
需要实时阻断:透明串接、反向代理、路由牵引、插件部署
只想先看风险:旁路镜像
云上业务:软件/镜像 + 反向代理
大规模多站点:集群 + 集中管理
关键业务连续性:HA、VRRP、Bypass、会话同步7. 新人速记
明御Web应用防火墙 WAF
├─ 是什么:守在Web/API入口前的七层应用安全防护设备
├─ 干什么:检测和拦截SQL注入、XSS、文件上传、WebShell、BOT、CC、0day等Web攻击
├─ 等保作用:边界防护、入侵防范、恶意代码防范、安全审计、访问控制、资源控制
├─ 功能模块:资产梳理、基础攻击防护、语义分析、行为分析、BOT、威胁情报、HTTPS/国密、Cookie、日志审计、集中管理
├─ 部署位置:互联网边界、DMZ、Web服务器前、负载均衡前后、API网关前后、云上Web入口
├─ 部署方式:透明串接、透明桥、反向代理、路由牵引、旁路镜像、云部署、插件、集群、集中管理、HA
└─ 产品边界:只重点保护HTTP/HTTPS应用层流量,不替代漏扫、EDR、数据库审计、API审计和全流量检测8. 一句话复述
明御Web应用防火墙 WAF 是部署在互联网边界、DMZ 或 Web/API 业务入口前的应用层安全防护产品,通过基础特征、语义分析、行为分析、BOT 防护、威胁情报、HTTPS/国密代理、Cookie 防护、日志审计和集中管理等能力,帮助客户拦截 Web 攻击、保护公网业务、支撑等保合规和安全运营。