硬件waf 软件waf 云waf 到底是什么

目前市面上的Waf的形态可以简单分类为三种，分别为：硬件Web防火墙、Web防护软件、云Waf。

一、硬件Waf

硬件Waf通常的安装方式是将Waf串行部署在Web服务器前端，用于检测、阻断异常流量。

常规硬件Waf的实现方式是通过代理技术代理来自外部的流量，并对请求包进行解析，通过安全规则库的攻击规则进行匹配，如成功匹配规则库中的规则，则识别为异常并进行请求阻断。

二、软件Waf

软件Waf则是安装在需要防护的服务器上，实现方式通常是Waf监听端口或以Web容器扩展方式进行请求检测和阻断。

三、云Waf

云Waf是近年来随着云计算的推动衍生出来的新产品，云WAF，也称WEB应用防火墙的云模式，这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护，它的主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器。

四、优缺点总结

面对不同形态的Waf，那么作为网站运营方，该如何选择适合自己的Waf呢？不同形态的Waf各有各的长处，但也有各自的缺点。

硬件Waf之利（一）：部署简易，即插即用

硬件Waf只需串联到交换机上，进行简单的配置后即可实现Web安全防护

硬件Waf之利（二）：可承受较高的吞吐量

由于硬件防火墙基于硬件设备实现，一般情况下可承受较高的数据吞吐量

硬件Waf之利（三）：防护范围大

由于硬件防火墙直接串联到了交换机，所以在同一个交换机下的所有服务器，都处于防火墙的防护范围之类

说完了优点，我们来说说弊端。

硬件Waf之弊（一）：价格昂贵

目前安全行业中的硬件Waf，价格对于中小企业来说过于昂贵，动辄便是几十万甚至几百万

硬件Waf之弊（二）：存在一定误杀

由于硬件Waf是通过攻击规则库对异常流量进行识别，所以在业务系统复杂的情况下，可能存在一定误杀导致正常功能被防火墙拦截导致影响正常业务

硬件Waf之弊（三）：存在一定绕过几率

硬件防火墙对HTTP协议进行自行解析，可能存在与Web服务器对HTTP请求的理解不一致从而导致被绕过

以上客观描述了硬件防火墙有优缺点，欢迎补充。

我们再来看看软件Waf又有哪些优缺点。

软件Waf之利（一）：开箱即用，廉价甚至免费

目前国内的软件Waf，如安全狗、网站安全卫士等皆有免费版，下载安装后简单配置即可使用。

软件Waf之利（二）： 管理方便，界面友好

目前行业中的软件Waf提供友好的查看、管理界面，使得即使是非技术人员也能通过软件管理服务器的安安全状态

软件Waf之利（三）：功能丰富

使用软件实现的Waf除了实现对Web应用的防护功能之外，还存在其他丰富的安全功能，如扫描恶意木马文件、防篡改、服务器优化、备份等等功能，这些功能对于不了解网站技术的人来说提供了便捷

软件Waf之弊（一）：误杀&漏报特性

软件Waf对HTTP协议实现了自解析，无法和容器背后的Web应用保持对协议的理解一致，在误杀和漏报之间不能很好的平衡，解析太过细化又存在Waf可轻易被欺骗导致绕过的特点，防御太过严谨又可能会导致影响正常业务运行

软件Waf之弊（二）：占用内存过多

由于软件Waf要实现对每个请求的解析、识别，可能会存在占用服务器内存过多的情况

软件Waf之弊（三）：只适合中小型网站

由于软件Waf需要单台服务器部署，并且可能存在影响正常业务的风险和被绕过的风险，不适合大型的网络的安全防护使用

那么今年来的新产品，云Waf又表现如何呢？

云Waf之利（一）：部署简单，维护成本低

这也是云Waf最有价值和受用户喜爱的一点，无需安装任何软件或者部署任何硬件设备，只需修改DNS即可将网站部署到云Waf的防护范围之内

云Waf之利（二）：用户无需更新

云Waf的防护规则都处于云端，新漏洞爆发时，由云端负责规则的更新和维护，用户无需担心因为疏忽导致受到新型的漏洞攻击

云Waf之利（三）：可充当CDN

云Waf在提供防护功能的同时，还同时具有CDN的功能，在进行防护的同时还可以提高网站访问的速率，CDN通过跨运营商的多线智能解析调度将静态资源动态负载到全国的云节点，用户访问某个资源时会被引导至最近的云端节点从而提高访问速度。

总结：一般大型企业，信息系统较多较为繁杂的企业推荐使用硬件waf，中小企业，信息系统不多的企业可以选择云waf。