Web应用防火墙快速入门

WAF(Web Application Firewall)是一种解决方案，帮助保护web站点和应用程序免受导致数据泄露和停机的攻击。

WAF充当一个反向代理，在所有流量流或请求到达原始web应用程序之前检查它们。它还检查从web应用程序服务器发送到最终用户的任何请求。

这些攻击大多基于探索web应用程序漏洞的定制脚本。当web应用程序防火墙识别出其中一个攻击请求时，它可以根据您定义的配置执行一些操作。它可以允许请求通过，它可以记录请求或阻止请求响应一个错误页面。

WAF是指将一组规则应用于HTTP/S流量的设备、服务器端插件或过滤器

通过拦截HTTP/S流量并通过一组过滤器和规则传递它们，WAF能够发现并防止攻击流攻击web应用程序

规则包括常见的攻击OWASP TOP 10(跨站点脚本攻击(XSS)、SQL注入)和过滤特定源IP或恶意僵尸程序的能力

OCI WAF主要功能

·访问控制

    符合通用数据保护法规(GDPR)合规性要求

·网络攻击保护(WAF保护规则)

    WAF将阻止和/或警告请求：SQL注入，跨站点脚本，HTML注入等等

·机器人管理

    使用WAF规则集中的挑战和白名单来进一步检测和阻止坏机器人并让好机器人通过

快速入门

如果你注册有域名，两步完成WAF配置：

· 在DNS控制台里面配置源域名的CNAME为上一步生成的CNAME 即可

很多时候验证WAF功能时，不方便修改DNS的CNAME或者没有域名，下面介绍没有域名怎么做WAF测试：

进入Oracle OCI Console -> Security -> Web Application Firewall

​

dig解析demo-waf-com.o.waas.

选择一个IP并在本地hosts文件配置好，如：192.29.19.xx demo.waf.com

响应里面有 “Server：ZENEDGE” 表明配置成功。

OCI WAF是一个位于OCI互联网边界上的服务：将来自Internet的外部安全威胁隔离限制在应用环境的边界上，保护用户核心层的应用&数据免受来自外部网络的安全威胁;内置250+网络应用风险威胁防御规则，引擎具有机器学习、技术领先的功能，智能、自动、高效。