WAF 的工作原理

WAF工作方式是對接收到的數據包進行正則匹配過濾，如果正則匹配到與現有漏洞知識庫的攻擊代碼相同，則認為這個惡意代碼，從而對于進行阻斷。所以，對于基于規則匹配的WAF，需要每天都及時更新最新的漏洞庫。

Waf工作過程：

• 解析HTTP請求

  對接收到數據請求流量時會先判斷是否為HTTP/HTTPS請求，之后會查看此URL請求是否在白名單之內，如果該URL請求在白名單列表里，直接交給后端Web服務器進行響應處理，對于不在白名單之內的對數據包解析后進入到規則檢測部分。

• 匹配規則

  解析后的數據包會進入到檢測體系中進行規則匹配，檢查該數據請求是否符合規則，識別出惡意攻擊行為。

• 防御動作

  如果符合規則則交給后端Web服務器進行響應處理，對于不符合規則的請求會執行相關的阻斷、記錄、告警處理。

回答所涉及的環境：聯想天逸510S、Windows 10。