web应用防火墙的主要技术是入侵检测能力，尤其是web服务入侵检测。Web防火墙面临的最大挑战是识别率，这不是一个容易衡量的指标，因为入侵网络的入侵者并没有全部公开。例如，对于你来说，很难发现是哪一个进来的。如果你不知道，你就数不清。对于已知的攻击模式，可以谈识别率；对于未知的攻击模式，要等他“跳出”才知道。
 
     如今市场上的大多数产品都是基于规则的waf。原则是每一个环节都要经过一系列的测试。每个测试都由太多的检测规则组成。如果测试失败，请求将被视为非法并被拒绝。

     基于WAF的安全规则和可有效预防的问题是已知的。当我们想开发一个定制的防御策略时，使用它会更加方便。但是，因为它们必须首先识别每种威胁的特征，因此需要一个强大的规则数据库来支持它们。WAF制造商维护这个数据库，并提供自动更新的工具。这种方法不能有效地保护web应用程序或零日漏洞（攻击者不使用公共漏洞），使用基于异常的WAF更有效。

     异常保护的基本概念是建立一个保护层，在检测到合法应用数据的基础上建立一个统计模型，判断实际通信数据是否为攻击。理论上，一旦成功构建，这个基于异常的系统应该能够检测到任何异常。有了它，我们不再需要一个常规数据库，零日攻击也不再是一个问题。但是基于异常保护的系统很难构建，所以并不常见。因为用户不知道它是如何工作的，也不相信它，所以它并不像基于规则的WAF那样被广泛使用。

 

 

上一篇: Web应用防火墙的功能和特点

下一篇: 云Waf有什么优势呢？