硬件WAF有哪些特点

硬件WAF有哪些特点？经过多年的发展，硬件WAF设备的防护效果及性能已经非常成熟，并且有大量的安全公司提供类似的设备或产品。

但是在多年使用中，WAF在防护方面主要有以下两个比较具有争议的特点。

1．代理模式

这种模式下，将设备部署在Web服务器前端，可将Web网站缓存到设备中，并由WAF对用户的Web请求进行响应。

而且，WAF也会定期对Web网站页面进行检查，确认网站是否安全，是否存在篡改行为等。此模式在设计之初预期非常好，希望WAF充当用户与站点之间的缓冲带。

但由于WAF本身并不参与Web系统服务器的工作，因此当面对用户的交互请求时，仍会由被防护的Web服务器进行响应。

因此，在实际工作中开启此模式的WAF设备也相对较少。

2．在线攻击防护效果

WAF设计之初的目标就是针对SQL注入、XSS等在线攻击行为进行防护。WAF常用的方式是利用关键字匹配，通过内置的Web漏洞及攻击行为特征对用户请求进行检测。

这样做的问题是误报率较高，且会阻断正常用户行为。目前，新型的WAF设备具备了自学习及类似功能，可利用机器学习的方式来扩展防护的规则库，防护效果有较明显的提升。

除此之外，WAF的额外功能很多，如爬虫检测功能、DDoS攻击识别功能、漏洞专项防护等。但是其标准防护技术就是疑似行为匹配。WAF内部会建立大量的规则库，涵盖各种漏洞类型的常见攻击特征、关键代码等。

然后，利用正则表达式实现快速识别。当然，也会针对高危漏洞编写特定检测插件，以便精确识别当前攻击并做出防护。

硬件WAF的防护思路及方案非常适合为互联网的Web应用提供防护，但事实并非如此。通常来说，WAF的性能最高能够达到Gbps级别，这主要取决于检查深入程度及设备延迟。设备延迟过高会对用户体验造成极大的影响。

同时作为一款硬件设备，WAF需部署在Web服务器前端，这样在网络内就形成了一个单点情况，俗称“单点故障点”。在这种情况下，如果WAF出现硬件、系统故障情况，极可能导致网络中断。

为了解决这个问题，目前WAF产品均具有双机热备/互备功能。依赖于通用的VRRP热备协议或其他标准，在网络内可实现多台设备的相互虚拟，由协议自动监控设备状态并自动切换链路。

同时设备支持硬/软件bypass（一种断电网络连通机制，避免由于设备宕机后网络中断），采取双电源等模式，尽可能保障网络的通畅。

在设备实际部署中，需根据真实的服务情况进行合理的网络配置，如下图所示。

图 WAF在线部署示意图

外部防护类设备虽然防护效果良好，针对各类攻击的防护效果可达到95%以上，但是此类防护设备仅建议作为主要防护手段的补充，不要完全依靠设备保障Web服务器的安全，并从代码层面尽早进行漏洞的修复。