时下，网络攻击和针对网站的攻击与日俱增。同时，在我们的日常生活中，安全的重要性也迅速提升。
因此，保证在线上世界的安全变得越来越重要。更重要的是，保护你的网站和所存储的数据的安全。所以，我们将介绍什么是 网页应用防火墙（WAF）以及 WAF 的重要性。

Why--为什么保护你的网站很重要 ？

举例来说，根据目前的统计数据，64% 的公司曾遭受过 web 攻击。62% 的公司曾被钓鱼或是社会工程学攻击。另外，59% 的公司曾被恶意代码和僵尸网络攻击过。
谈及网站安全和 CMS 安全，就不得不说活跃度不断提升的注入攻击。例如，WordPress 依然是 Web 攻击的主流的网站 CMS。
平均来说，每天大约有 30000 到 50000 个网站被黑。事实上，这 3000 个网站中绝大部分为合法的中小企业，不经意间就成为网络犯罪的恶意代码分发肉鸡。

一般来说，在网络攻击面前，面向公共网络的 web 接口，被认为最为脆弱的和高风险的。因此，网站自然而然地就成为黑客攻击的主要目标之一。
针对网站的攻击，最常见的攻击形式包括跨站脚本攻击（XSS）、SQL 注入和任意远程代码执行（ARCE）。

How--如何防护网站攻击 ？

当我们离开家或者办公室出去，通常会把门锁上。这相当自然，对吗 ？类似的，跟你离开家或办公室锁门一样，对你互联网上的 “家”，你也需要一把“锁”。
这把锁很重要，因为偶尔有心怀恶意的人，企图进来偷走你的数据。

为了保证网络安全，你有几种选择：你可以手工操作，基于自己的知识去加固你的网站；或者在专家的帮助下做防护。这包括经常性的更新，手动监控，备份和补丁。
或者你可以寻求 WAF 的帮助，做这些脏活累活。为网站构建安全防护层，你需要安全体系来作为你网站的第一道防线。Web 应用防火墙就是这样的第一道防线。

What--Web 应用防火墙是什么 ？

So，WAF 是什么 ? Web 应用防火墙（Web Application Firewall，简称 WAF），是一种应用防火墙，用来监控，过滤和拦截可能对网站有害的流量。
因此 Web 应用防火墙，是用于拦截和捕获恶意流量，阻止其到达真正的 Web 服务器。

Web 应用防火墙，和普通防火墙一样由众多组件协调工作，来拦截恶意流量，阻止非正常结果。
Web 应用防火墙区别于传统防火墙的是，除了拦截具体的 IP 地址或端口，WAF 更深入地检测 Web 流量，探测攻击信号或可能的注入。另外，WAF 是可定制的——针对不同的应用有众多不同的具体规则。

Web 应用防火墙（WAF）是一种用于 HTTP 应用的应用防火墙。它通过一系列规则来约束 HTTP 连接。通常，这些规则覆盖常见的各种 Web 攻击如 XSS 和 SQL 注入攻击。

白名单

白名单包含一系列“好”的东西——应该直接通过防火墙规则而无需进行流量检测。例如，我们在网页中设计了一个表格，用于接收 HTML code。所以，我们希望把这个表格加入 WAF 白名单避免 XSS/HTML 注入检查。

黑名单

黑名单完全是白名单的对立面，包含一系列“不好”的东西，不应该通过防火墙。

混合名单

混合名单就是白名单+黑名单。这是现代防火墙最为常用的策略。

基于签名的检测

基于签名的检测更多地是用于入侵检测而不是防火墙。然而，许多现代防火墙加入该功能用来识别流量模式，并阻断恶意的请求。

为什么需要 Web 应用防火墙 ?

黑客总是不断地找到新的方式，访问你的网站。这意味着仅靠安全编码意识和在编码过程中实施安全措施是不够的。

PCI DSS 3.1 要求：
6.6 建议部署 WAF 设备：
“Installing an automated technical solution that detects and prevents web based attacks(for example, a web application firewall) in front of publiic facing web applications, to continually check all traffic”.

注：PCI-DSS 安全认证： PCI-DSS 安全认证全称 Payment Card Industry (PCI) Data Security Standard，由 VISA、美国运通公司、发现金融服务公司、JCB 和万事达国际组织等五家国际信用卡组织联合推出，是目前全球最严格、级别最高的金融机构安全认证标准。

特别提醒一下，Web 应用防火墙是个专门用于 Web 应用的安全工具。因此，如果 WAF 是你公司仅有的安全投资，很显然在今天的网络环境下，这对保障系统安全，是不够的 。