采购Web应用防火墙 这些问题你必须考虑（三）

WAF如何检测和响应攻击?

WAF的运作主要是通过检测应用服务器和客户端之间的请求和响应内容来实现。WAF如何检测以及检测什么对能否有效保护企业资产至关重要。

WAF检测什么(例如表头、会话、文件上传等)将决定其响应能力。WAF应该能够检测请求/响应对象的所有组件，包括会话详细内容。如果应用有要求，例如限制用户会话数量，大多数WAF可以帮助实现。WAF应该提供可用的配置让管理员来轻松选择这些选项。如果企业对GET与POST如何使用有具体要求，或者对访问者进入网站的途径有特定要求，WAF也应该提供支持。

检测异常或恶意流量主要是基于几个模型，了解每个模型很重要。

如果WAF采用黑名单的做法，它只会阻止列表中包含已知攻击的请求。众所周知的攻击(例如SQL注入和跨站脚本)通常包含容易检测的某些字符。黑名单很好用，只要WAF支持这种攻击方法。并且，由于威胁经常变化，必须保持黑名单的更新。

如果WAF使用白名单的做法，它只会允许满足列表或配置中标准的请求。这种检测方法需要部署期间前端的更多工作，但通常这是更安全的方法，因为它会阻止一切没有被定义为可接受的事物。

这两种方法都应该由企业的技术团队来配置。

除了检测，WAF如何响应攻击或异常也很关键。WAF提供多种响应选项，这些选项在配置界面应该容易变更。通常情况下，WAF会以某种方式与请求或会话进行交互(当发现攻击或异常时)，例如终止与应用服务器的会话或阻止单个请求。每种方法都有优点和缺点，企业应了解哪些方法可行，这很重要。

WAF应该可配置为使用下列方法来阻止攻击：

· 阻止会话

· 阻止IP地址

· 阻止请求

· 注销用户

· 阻止用户

理想情况下，WAF应该在各种配置中支持这些方法，以响应对攻击或异常的检测。在某些情况下，WAF可能需要依赖其他设备(例如网络防火墙或路由器)来执行阻止操作。如果企业想要使用这个功能，企业应该确保所选择的WAF产品与现有网络设备兼容。