WAF的应对策略和落地实践

今天和蚂蚁金服安全同学聊聊WAF，用支付宝客户端给商家转账后，看到对方多了3元，我有点懵了。仔细一看原来是商家把支付宝号绑了不同的账户，支付宝不是同一个账户呀，会出问题的。

业务改造成这样的模式，肯定是有原因的。最容易想到的，是通过这种方式来规避监管（个人支付宝转账给个人不超过200元，商家支付宝转账给商家最高可达10万元）。

我们经常做WAF（Web应用防火墙）测试，WAF测试最大的好处就是，不用看代码，直接通过抓包可以看到网站的具体访问路径、请求参数、数据内容等等，所以发现上面的模式对于我们来说很简单。

但对于运营，业务，产品同学来说，就比较难。

他们容易钻牛角尖，考虑很多细微的点，忽略系统的本质：用系统最小成本最优策略满足业务需求，如何最小成本实现满足政策法规。

他们可能想到一些办法，比如修改下文案，或者给个按钮让用户明确做某个操作。

但这些真的解决问题了吗？没有！

本质上，上面这个产品功能都符合政策法规了，甚至还有在用户体验上下功夫，用户明确确认自己进行的是某某操作。

是不是没辙了？不是。只要遵守一个基本的原则，凡是违背我们所需要的行为，一律拦截。然后，我们可以利用WAF基于规则和特征的模式匹配能力，准确识别各种类型的恶意请求，并对这些请求进行过滤或阻断。

我们简单聊聊WAF，WAF是通过检测网络流量中是否有攻击行为来保护Web应用程序免受攻击。

WAF可以通过以下方式来保护Web应用程序：

1、识别和阻止常见的攻击，如SQL注入、跨站脚本和暴力攻击。
2、识别和阻止针对Web应用程序的异常流量。
3、提供Web应用程序的实时防护，并记录所有攻击行为。

WAF的防护能力主要体现在以下几个方面：

1、WAF能够识别和阻止常见的攻击，如SQL注入、跨站脚本和暴力攻击。
2、WAF能够识别和阻止针对Web应用程序的异常流量。
3、WAF能够提供Web应用程序的实时防护，并记录所有攻击行为。

WAF的部署方式主要有两种：

1、云WAF：云WAF是一种部署在云上的WAF，可以为Web应用程序提供全面的防护。云WAF通常由云服务提供商提供，如阿里云、腾讯云和华为云。
2、本地WAF：本地WAF是一种部署在本地网络中的WAF，可以为Web应用程序提供本地防护。本地WAF通常由企业自行购买和部署。

WAF的运维管理主要包括以下几个方面：

1、WAF的策略配置和管理：WAF的策略配置和管理包括WAF的防护模式、防护规则、防护策略和防护对象等。
2、WAF的日志管理：WAF的日志管理包括WAF的攻击日志、告警日志和审计日志等。
3、WAF的性能监控：WAF的性能监控包括WAF的资源使用情况、WAF的响应时间和WAF的攻击处理能力等。

WAF在安全防护中起着非常重要的作用，WAF可以有效地保护Web应用程序免受攻击，确保Web应用程序的稳定性和安全性。