为什么互联网上要设立防火墙？WAF又是什么？

防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。

防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。

后来这个词语引入到了网络中，把从外向内的网络入侵行为看做是火灾，防止这种入侵的策略叫做防火墙。后来，防火墙不但用于防范外网，例如：对企业内网的 DoS 攻击或非法访问等，也开始防范从内部网络向互联网泄露信息、把内部网络作为攻击跳板等行为。

一、防火墙有哪些类型？

防火墙可分为软件防火墙和硬件防火墙。软件防火墙又可分为个人防火墙和网关防火墙。

1.个人防火墙

个人防火墙运行在 PC 上，用于监控 PC 和外网的通信信息。在 Windows 操作系统中集成了 Windows 防火墙。

杀毒软件产品厂家的个人防火墙一般包含在安全软件套件里。

2.网关防火墙

在网络中的网关上配置防火墙的功能，能对网络中的流量进行策略控制，这就是网关防火墙。

网关防火墙分为两种：

一种是在 Windows 、Linux 等操作系统上安装并运行防火墙软件的软件网关防火墙。另一种是使用专用设备的硬件网关防火墙。

个人防火墙和网关防火墙有什么区别呢？

个人防火墙主要监控 PC 的通信流量，网关防火墙是监控网络中所有终端的通信流量，在网关处进行策略控制。

3.硬件防火墙

通过硬件设备实现的防火墙叫做硬件防火墙，外形跟路由器相似，接口类型通常有千兆网口、万兆光口。

二、防火墙的技术类型有哪些？

1、分组过滤型：没有防火墙设备时，可以由路由器实现。根据网络中的传输的IP分组头
部和TCP/IP分组头部，获得源IP地址和端口号、目的IP地址和端口号，
以这些信息作为过滤条件，决定是否转发这个分组。分组过滤会用到访
问控制列表。
2、应用网关型：1.不以分组为单位进行通信过滤，而是特定的应用程序会话。2.在传输层进行连接中继，也就是第四层代理，通过SOCKS协议实现。
3、电路层网关型：1.内网终端连接外部网络时，终端与网关建立TCP连接，网关和外部服务器
建立新的TCP连接。2.使用电路层网关，不用设置安全认证端口和NAT，就可以让私有地址的内
网终端访问外部网络
4、状态检测型：动态分组过滤的一种，通过检测TCP的连接状态阻挡来路不明的分组，简称SPI。

可以抵抗下面类型的攻击：
---伪装IP地址或端口，发送附带TCP的RST或FIN标志位的分组，随意中止正常通信的攻击。
---在允许通信的范围内发送附带TCP的ACK标志位的分组，从而入侵内部网络。

5、新一代防火墙：根据上面的所有信息执行安全策略来进行防御，不仅根据端口号或协议
号识别应用程序，还根据IP地址识别用户信息。

三、什么是代理服务器？

代理服务器是应用网关防火墙的一种。假设客户端和 HTTP 服务器通信时， 客户端发送请求报文时，代理服务器会替代客户端向 HTTP 服务器发送请求；HTTP 服务器回复响应报文时，代理服务器会代替 HTTP 服务器向客户端回复。对于客户端来说，代理服务器就是 HTTP 服务器。客户端和代理服务器、代理服务器和 HTTP 服务器分别建立两个会话。

从客户端收到的请求报文、从服务器收到响应报文，代理服务器都会在应用层进行检查，如果有异常就放弃通信或发送出错信息。由于代理服务器是会话的起点，对互联网的服务器来说，是看不到客户端的 IP 地址。

四、waf是什么？

WAF的全称是（Web Application Firewall）即Web应用防火墙，简称WAF。Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

WAF主要功能有两个，第一就是能调取主流IP威胁情报库，有效预防木马病毒植入与扫描器爆破服务器密码等；第二就是预防漏洞攻击，防SQL注入、XSS跨立，后门隔离保护、Webshell上传、非法HTTP协议请求、代码审计等方面的防护功能。

WAF的主要技术是对入侵的检测能力，尤其是对Web服务入侵的检测能力。常见的实现形式包括代理服务、特征识别、算法识别、模式匹配。

五、WAF主要技术：

WAF的主要技术是对入侵的检测能力，尤其是对Web服务入侵的检测能力。常见的实现形式包括代理服务、特征识别、算法识别、模式匹配。

1、代理服务:代理方式本身是一种安全网关，基于会话的双向代理，中断了用户与服务器的直接连接，适用于各种加密协议，这也是Web的Cache应用中最常用的技术。代理方式有效防止入侵者的直接进入，对DDOS攻击可以抑制，对非预料的“特别”行为也有所抑制。

2、特征识别:识别出入侵者是防护它的前提。特征就是攻击者的“指纹”，如缓冲区溢出时的Shellcode，SQL注入中常见的“真表达(1=1)”。应用信息没有“标准”，但每个软件、行为都有自己的特有属性，病毒与蠕虫的识别就采用此方式，麻烦的就是每种攻击都自己的特征，数量比较庞大，多了也容易相象，误报的可能性也大。虽然目前恶意代码的特征指数型地增长，安全界声言要淘汰此项技术，但目前应用层的识别还没有特别好的方式。

3、算法识别:特征识别有缺点，人们在寻求新的方式。对攻击类型进行归类，相同类的特征进行模式化，不再是单个特征的比较，算法识别有些类似模式识别，但对攻击方式依赖性很强，如SQL注入、DDOS、XSS等都开发了相应的识别算法。算法识别是进行语义理解，而不是靠“长相”识别。

4、模式匹配:IDS中“古老”的技术，把攻击行为归纳成一定模式，匹配后能确定是入侵行为。协议模式是其中简单的，是按标准协议的规程来定义模式，行为模式就复杂一些。

六、WAF分类

WAF从形态上可分为硬件WAF、WAF防护软件和云WAF。

1、硬件WAF：通常串行部署在Web服务器前端，用于检测、阻断异常流量。通过代理技术代理来自外部的流量，并对请求包进行解析，通过安全规则库的攻击规则进行匹配，如成功匹配规则库中的规则，则识别为异常并进行请求阻断。

2、软件WAF：通常部署在需要防护的服务器上，通过监听端口或以Web容器扩展方式进行请求检测和阻断。

3、云WAF：也称WEB应用防火墙的云模式，这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护，它的主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器。

七、WAF与传统防火墙区别

传统防火墙主要用来保护服务器之间传输的信息，而WAF则主要针对Web应用程序。网络防火墙和WAF工作在OSI7层网络模型的不同层，相互之间互补，往往能搭配使用。网络防火墙一般只能决定用来响应HTTP请求的服务器端口是开还是关，没办法实施更高级的、和数据内容相关的安全防护。

八、德迅云-WAF防火墙

安全加速SCDN

安全加速（Secure Content Delivery Network，SCDN）是德迅云安全推出的集分布式DDoS防护、CC防护、WAF防护、BOT行为分析为一体的安全加速解决方案。已使用内容分发网络（CDN）或全站加速网络（ECDN）的用户，可为加速域名一键开启安全防护相关配置，全方位保障业务内容分发。