网络安全-WAF如何判断是攻击行为

WAF概念

????????WAF(Web Application Firewall)可以用来屏蔽常见的网站漏洞攻击，如SQL注入，XML注入、XSS等。WAF针对的是应用层而非网络层的入侵，从技术角度应该称之为Web IPS.

WAF种类

1、非嵌入型WAF

????????对Web流量的解析完全是靠自身的，而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面;

2、嵌入型WAF

????????从Web容器模块型WAF、代码层WAF等，其对抗畸形报文、扫操作绕过的能力越来越强。当然，在部署维护成本方面，也是越高的。

WAF的判断规则

1、基于规则库匹配的WAF

????????目前市面上大多数的WAF都是基于规则的WAF。即WAF对接数据收到的包进行正则匹配过滤，如果正则匹配到与现有漏洞知识库的攻击代码相同，则认为这个恶意代码，从而对于进行阻断。所以，对于基于规则匹配的WAF，需要每天都及时更新最新的漏洞库。

对于这种WAF，它的工作过程是这样的:解析HTTP请求―—>匹配规则——>防御动作―—>记录日志;

2、基于语义引擎分析的WAF

????????—般来说，规则引擎使用的正则规则的描述性比较强，对于强攻击特征的请求，正则规则的防护效果最佳。而当面对一些弱特征的攻击请求（例XSS特征请求)，即便启用Web应用攻击防护的严格模式，依然可能因无法检测到而存在潜在的安全风险。可以通过启用Web应用防火墙的大数据深度学习引擎功能，识别并拦截Web应用攻击防护的严格规则无法识别的弱特征攻击请求。