web应用防火墙(WAF)的基本原理是什么？

WAF，又名Web应用防火墙，能够对常见的网站漏洞攻击进行防护，例如SQL注入、XSS跨站等；目前WAF最基本的防护原理为特征规则匹配，将漏洞特征与设备自身的特征库进行匹配比对，一旦命中，直接阻断，这种方法能够有效防范已知的安全问题，但是需要一个强大的特征库支持，特征库需要保证定期更新及维护；但是对于零日漏洞（未经公开的漏洞），就需要设备建立自学习机制，能够根据网站的正常状态自动学习建立流量模型，以模型为基准判断网站是否遭受攻击。

以安华金和数据库防火墙为例，主要功能与特点有：学习期行为建模，数据库防火墙可基于学习期完成语句、会话的建模分析，构建数据库安全防护模型。并且具备语法分析能力，可以对 SQL 语句进行抽象描述，将海量的 SQL 语句归类成 SQL 模板。基于 SQL 模板关联会话信息，可预定义数据库黑白名单和风险规则。

数据库入侵行为防护， 外部系统利用数据库漏洞进行数据库攻击时，数据库防火墙可以实时捕获到对应的 SQL 语句及相关会话信息，及时阻断风险会话并发送告警，帮助用户实时防护数据库漏洞攻击并有效追溯风险来源。

针对 SQL 注入和 XSS 攻击行为数据库防火墙基于精准的 SQL 语法分析，可以准确定位 SQL 语句中的 *** 作谓词及常量表达式，保障注入、攻击行为防护的准确性。

数据库违规行为防护，数据库防火墙提供丰富的规则类型，可以针对不同的数据库访问来源，提供对敏感表的访问权限、 *** 作权限和影响行数的实时有效管控，并结合对NO WHERE语句风险的判断，避免大规模数据泄露和篡改。

数据库异常行为监控，数据库防火墙可对数据库通讯协议进行完全解析，将 SQL 语句归类成模板，并结合会话信息、应用关联信息，实现学习期行为建模，并以学习期建立的模型为“蓝本”，对数据库访问行为进行周期性对比，以此绘制行为趋势图，快速定位“波动点”识别可能存在的异常行为并预定义风险规则，帮助用户准确定位异常行为。

阻断与拦截功能，数据库防火墙支持会话阻断，可准确定位风险来源并阻断会话请求。在会话阻断的基础上，提供“语句拦截”的处理机制，仅针对会话里产生风险的 SQL 语句进行拦截，保持会话内其他合规语句的正常 *** 作。

行为审计功能，数据库防火墙从风险、语句和会话的角度提供风险行为的审计功能，用户可以在此基础上进行关联查询，深入挖掘风险来源和风险行为模型，实现数据库风险行为分析和问题追溯。

提供多样化的风险分析报表，数据库防火墙可实现将报表划分为“风险综合分析报告”、“风险防护报告”、“数据库风险分析”、“客户端风险分析”等，帮助安全管理人员更加便捷、深入的剖析数据库运行风险。

---