waf防火墙工作原理及配置案例

要搞清楚WAF（Web Application Firewall，Web 应用防火墙）的工作原理，首先要搞清楚WAF是属于哪一层的安全防护设备。很简单，网页属于应用，所以WAF是在 OSI 七层模型的应用层的防火设备。它通过深度解析 HTTP/HTTPS 流量、基于规则 / 行为 / AI 检测攻击，专门防护 SQL 注入、XSS、文件上传、命令注入、CC 攻击等 Web 应用层威胁。

一、WAF 核心工作原理

1. 流量拦截与代理（部署模式）

WAF 作为反向代理 / 透明代理 / 旁路监听，部署在用户与 Web 服务器之间，所有请求 / 响应必须经过 WAF：

• 反向代理（最常用）：用户访问 WAF IP / 域名，WAF 转发到后端服务器，可修改请求 / 响应、卸载 HTTPS、隐藏真实服务器。
• 透明网桥：串接在链路中，不改变网络拓扑，流量自动穿透检测。
• 旁路镜像：只复制流量检测、不阻断，用于日志审计与威胁发现。

2. 深度协议解析

WAF 完整拆解 HTTP/HTTPS 所有字段，不依赖简单端口过滤：

• 请求行：URL、方法（GET/POST/PUT/DELETE）、协议
• 请求头：Host、User-Agent、Referer、Cookie、X-Forwarded-For
• 请求参数：Query String、Form 表单、JSON/XML Body、文件上传
• 响应内容：状态码、响应头、HTML/JS/CSS/JSON 正文

3. 五大检测引擎

（1）特征规则匹配（黑名单）

• 内置攻击特征库（SQLi/XSS/ 命令注入 /webshell 等）
• 用正则 / 关键字匹配：union select、script、../、;|&&|'|" 等
• 示例：拦截 ?id=1' union select 1,2,3#

（2）白名单校验

• 允许可信 IP、固定 URL、合法参数格式直接放行
• 例：仅 10.0.0.0/24 可访问 /admin，订单 ID 必须为纯数字

（3）行为分析与异常检测

• 请求频率：单 IP 1 分钟 > 100 次 → CC 攻击
• 访问异常：频繁 404、扫描路径、非正常跳转
• 会话异常：Cookie 篡改、会话劫持、短时间多账号登录

（4）语义 / 语法解析（防绕过）

• 解析 SQL/JS/ 命令语法，识别编码绕过（URL 编码、Unicode、Hex、Base64）
• 例：%27union%20select 仍被识别为 SQL 注入

（5）AI / 机器学习（高级 WAF）

学习正常业务模型，识别0day 攻击、未知变异攻击

4. 决策与执行

• 放行：合法请求转发至服务器
• 拦截：返回 403/405/501 或自定义页面
• 告警：短信 / 邮件 / 钉钉 / Syslog 推送
• 验证码 / JS 挑战：区分人机（防 CC / 爬虫）
• 限流 / 脱敏：频率限制、身份证 / 银行卡打码

5. 日志与审计

• 记录所有请求：IP、URL、参数、规则 ID、动作、时间
• 支持日志检索、报表、溯源、合规审计（等保 / PCI DSS）

二、典型配置案例（4 类场景）

案例 1：基础防护（SQLi + XSS + 通用规则）

适用：所有网站，开启默认防护

（1）云 WAF（阿里云 / 腾讯云）控制台配置

• 域名接入 → 开启 Web 基础防护
• 开启：SQL 注入防护、XSS 防护、命令注入、文件上传防护、目录遍历

image

案例 2：后台管理页 IP 白名单

需求：/admin、/manage 仅公司办公 IP（202.103.xxx.xxx）可访问

（1）云 WAF 配置（访问控制）

• 匹配字段：请求路径
• 逻辑：等于 /admin或 包含 /manage
• 匹配条件：来源 IP 不属于 202.103.xxx.xxx/32
• 动作：拦截（403）

image

案例 3：CC 攻击防护（防刷 / 防爬虫）

需求：单 IP 1 分钟 > 60 次 → JS 验证；> 120 次 → 封禁 10 分钟

（1）云 WAF CC 防护配置

• 模板名称：cc_protect
• 防护模式：正常模式
• 检测维度：IP + URL
• 阈值：60 次 / 分钟
• 动作：JS 挑战（人机验证）
• 高级：120 次 / 分钟 → 封禁 10 分钟

image

案例 4：防盗链 + 接口参数格式校验

（1）防盗链（仅允许本站 Referer）

匹配字段：Referer

逻辑：不包含 yourdomain.com

动作：拦截 / 重定向

image

三、与传统防火墙的区别