WAF和防火墙的区别：Web 应用程序和网络防火墙

在当今这个时代，复杂的网络攻击频现，数字化创新如火如荼，企业必须了解自己面临的威胁以及他们的安全防御措施能提供什么保护。防火墙就是一个典型例子，因为 Web 应用防火墙和网络防火墙可以保护组织免受不同类型的攻击。因此，务必了解网络防火墙与应用防火墙有何不同，以及如何防止 Web 攻击和更广泛的网络攻击。

一直以来，企业使用网络防火墙来保护其数据和用户，但网络防火墙缺乏灵活性和透明度，无法防御现代安全威胁。随着自带设备 (BYOD)、公有云和软件即服务 (SaaS) 解决方案的增长，企业需要将 Web 应用防火墙 (WAF) 添加到安全策略中。这样可更有效地防御针对 Web 应用程序的攻击——这类应用程序存储在远程服务器上，通过浏览器界面在互联网上传输，是黑客很喜欢攻击的目标。

WAF 通过针对超文本传输协议 (HTTP) 流量来保护 Web 应用程序。这与标准防火墙不同，后者在外部和内部网络流量之间提供屏障。

WAF 位于外部用户和 Web 应用程序之间，以分析所有 HTTP 通信。然后，它会在恶意请求到达用户或 Web 应用程序之前对其进行检测和拦截。 因此，WAF 可以保护关键业务 Web 应用程序和 Web 服务器免受零日威胁及其他应用层攻击。WAF 变得日益重要，因为随着企业推行数字化新举措，可能会使新的 Web 应用程序和应用程序编程接口 (API) 容易受到攻击。

网络防火墙可保护安全局域网 (LAN) 免受未经授权的访问，以防止攻击风险。其主要目标是将安全区域与不安全区域分隔开，并控制这两者之间的通信。如果没有网络防火墙，任何具有公共互联网协议 (IP) 地址的计算机都可以在网络外部被访问，并且可能面临攻击风险。

传统的网络防火墙可以减少或防止对专用网络的未经授权访问。防火墙策略界定网络上允许的流量，任何其他访问都将被阻止。这有助于防止的一些网络流量包括：未经授权的用户；来自不安全区域的用户或设备的攻击。

WAF 专门针对应用程序流量，保护面向互联网的网络区域中的 HTTP 和安全超文本传输协议 (HTTPS) 流量和应用程序。这样可以保护企业免受跨站脚本 (XSS) 攻击、分布式拒绝服务 (DDoS) 攻击和 SQL 注入式攻击等威胁。

应用防火墙和网络防火墙在技术方面的一个重要区别在于它们运行所在的安全层。开放式系统互联 (OSI) 模型定义了网络通信的各个层，该模型明确了电信和计算系统中的通信功能的特征，并使这些功能实现标准化。 

WAF 在 OSI 模型的第 7 层（应用层）防御攻击。例如，防御针对 Ajax、ActiveX 和 JavaScript 等应用程序的攻击，以及 Cookie 操控攻击、SQL 注入攻击和 URL 攻击。WAF 还针对用于连接网页浏览器和 Web 服务器的 Web 应用程序协议 HTTP 和 HTTPS。 

例如，第 7 层 DDoS 攻击将大量流量发送到服务器层，服务器层会根据 HTTP 请求生成并发送网页。WAF 可以充当反向代理，保护目标服务器免受恶意流量和过滤器请求的影响，以识别 DDoS 工具的使用，从而缓解这个问题。 

网络防火墙在 OSI 模型的第 3 和第 4 层运行，可保护数据传输和网络流量。例如，防御针对域名系统 (DNS)、文件传输协议 (FTP)、简单邮件传输协议 (SMTP)、安全外壳 (SSH) 和 Telnet 的攻击。

WAF 解决方案可保护企业免受针对应用程序的 Web 攻击。如果没有应用防火墙，黑客可能会通过 Web 应用程序漏洞入侵更广泛的网络。WAF 可保护企业免受常见的 Web 攻击，例如：

• 分布式拒绝服务：试图通过大量网络流量造成网络、服务或服务器不堪重负，使之因此而陷入瘫痪。这种攻击旨在耗尽目标的资源；由于流量的恶意性质并不总是明显的，因此可能难以防御。
• SQL 注入：这种注入攻击使黑客可以执行恶意 SQL 语句，通过这些语句控制 Web 应用程序背后的数据库服务器。这使攻击者可以避开网页身份验证和授权并检索 SQL 数据库的内容，然后添加、修改和删除数据库的记录。网络罪犯可以利用 SQL 注入来访问客户信息、个人数据和知识产权。这种攻击在 2017 年 OWASP 十大安全威胁榜单中被列为第一位的 Web 应用安全威胁。
• 跨站脚本：一种 Web 安全漏洞，使攻击者可以损害用户与应用程序的交互。它使攻击者可以规避同源策略（该策略旨在分隔不同的网站）。因此，攻击者可以伪装成真正的用户，并访问他们有权访问的数据和资源。 

网络防火墙可防止未经授权的访问和流量进出网络，可防御针对连接到互联网的设备和系统的网络攻击。常见的网络攻击包括：

• 未经授权的访问：攻击者未经许可访问网络。这种攻击常见的实现方式是，利用弱密码、社交工程或内部威胁来盗取凭据和入侵帐户。
• 中间人 (MITM) 攻击：攻击者拦截网络和外部站点之间或网络内部的流量。造成这种攻击的常见原因是，不安全的通信协议使得攻击者能够在传输过程中窃取数据，然后获得用户凭据并劫持用户帐户。
• 提权：攻击者可以访问网络，然后利用提权来扩大其在系统中的访问范围。提权细分为横向提权和纵向提权，前者可获得邻近系统的访问权限，后者可在同一个系统中获得更高权限。

标准网络防火墙和 WAF 抵御不同类型的威胁，因此，选择正确的防火墙至关重要。网络防火墙本身并不能保护企业免受网页攻击，这种攻击只能通过 WAF 功能来防御。因此，如果没有应用防火墙，企业可能有更大一部分网络会受到通过 Web 应用程序漏洞发起的攻击。但是，WAF 无法保护网络层免受攻击，因此，它应该作为网络防火墙的补充，而不是取代网络防火墙。 

Web 应用防火墙和网络防火墙解决方案在不同的层工作，防御不同类型的流量。因此，它们不是相互竞争，而是相互补充。网络防火墙通常可防御更多类型的流量，而 WAF 可处理传统方法无法应付的特定威胁。因此，最好同时使用这两种解决方案，尤其是当企业的操作系统与 Web 紧密配合时。

难题并不是该选择哪一种防火墙，而是如何选择最适合企业需求的 WAF 系统。WAF 应具有硬件加速器，应能够监控流量和阻止恶意访问，应具有较高的可用性，并且应可扩展，能够随着企业的发展保持性能。

购买单独的防火墙产品来保护每个安全层，这种做法既费钱又繁琐。这促使企业选择下一代防火墙 (NGFW)等综合解决方案。NGFW 通常将网络防火墙和 WAF 的功能整合到一个集中管理的系统中。它们还为安全策略提供额外的上下文，这对于保护企业免受现代安全威胁至关重要。 

NGFW 是基于上下文的系统，使用身份、时间和位置等信息来确认用户的真实身份。这种额外的见解使企业能够就用户访问做出更明智的决策。此外，NGFW 还具有反病毒、反恶意软件、入侵防御系统和 URL 过滤等功能。因此，它们能够根据企业面临的日益复杂的威胁简化安全策略，并提高安全策略的有效性。

集中全面地了解数字化安全状况通常更简单、更具成本效益。但是，确保 NGFW 涵盖网络和 Web 应用程序保护的所有基础至关重要。WAF 对于保护 Web 应用程序免受代码注入、Cookie 签名、自定义错误页面、请求伪造和 URL 加密等攻击发挥着特定作用。因此，可能需要将 NGFW 与专用 Web 应用防火墙（例如 FortiWeb Web应用防火墙）结合使用。

Fortinet 保护关键业务 Web 应用程序免受针对已知和未知漏洞的攻击。我们的 FortiWeb Web应用防火墙解决方案可紧跟企业 Web 应用程序的快速发展步伐，确保企业每次部署新功能、推出新的 Web API 和更新现有 API 后仍得到保护。

FortiWeb Web应用防火墙提供全面的保护，防止企业受到各种安全威胁，具有 DDoS 防护、协议验证、应用攻击签名、机器人程序缓解和 IP 信誉等各种功能。它还使用机器学习来自动构建和维护正常用户行为模型，该模型用于识别良性和恶意流量，而且不像大多数 WAF 那样需要耗时的手动工作。

如需详细了解 Fortinet 的网络防火墙与 WAF 方法，请阅读关于 WAF 与 IPS 的信息简报。