硬件WAF有哪些特點？經過多年的發展，硬件WAF設備的防護效果及性能已經非常成熟，并且有大量的安全公司提供類似的設備或產品。

但是在多年使用中，WAF在防護方面主要有以下兩個比較具有爭議的特點。

1．代理模式

這種模式下，將設備部署在Web服務器前端，可將Web網站緩存到設備中，并由WAF對用戶的Web請求進行響應。

而且，WAF也會定期對Web網站頁面進行檢查，確認網站是否安全，是否存在篡改行為等。此模式在設計之初預期非常好，希望WAF充當用戶與站點之間的緩沖帶。

但由于WAF本身并不參與Web系統服務器的工作，因此當面對用戶的交互請求時，仍會由被防護的Web服務器進行響應。

因此，在實際工作中開啟此模式的WAF設備也相對較少。

2．在線攻擊防護效果

WAF設計之初的目標就是針對SQL注入、XSS等在線攻擊行為進行防護。WAF常用的方式是利用關鍵字匹配，通過內置的Web漏洞及攻擊行為特征對用戶請求進行檢測。

這樣做的問題是誤報率較高，且會阻斷正常用戶行為。目前，新型的WAF設備具備了自學習及類似功能，可利用機器學習的方式來擴展防護的規則庫，防護效果有較明顯的提升。

除此之外，WAF的額外功能很多，如爬蟲檢測功能、DDoS攻擊識別功能、漏洞專項防護等。但是其標準防護技術就是疑似行為匹配。WAF內部會建立大量的規則庫，涵蓋各種漏洞類型的常見攻擊特征、關鍵代碼等。

然后，利用正則表達式實現快速識別。當然，也會針對高危漏洞編寫特定檢測插件，以便精確識別當前攻擊并做出防護。

硬件WAF的防護思路及方案非常適合為互聯網的Web應用提供防護，但事實并非如此。通常來說，WAF的性能最高能夠達到Gbps級別，這主要取決于檢查深入程度及設備延遲。設備延遲過高會對用戶體驗造成極大的影響。

同時作為一款硬件設備，WAF需部署在Web服務器前端，這樣在網絡內就形成了一個單點情況，俗稱“單點故障點”。在這種情況下，如果WAF出現硬件、系統故障情況，極可能導致網絡中斷。

為了解決這個問題，目前WAF產品均具有雙機熱備/互備功能。依賴于通用的VRRP熱備協議或其他標準，在網絡內可實現多臺設備的相互虛擬，由協議自動監控設備狀態并自動切換鏈路。

同時設備支持硬/軟件bypass（一種斷電網絡連通機制，避免由于設備宕機后網絡中斷），采取雙電源等模式，盡可能保障網絡的通暢。

在設備實際部署中，需根據真實的服務情況進行合理的網絡配置，如下圖所示。

圖 WAF在線部署示意圖

外部防護類設備雖然防護效果良好，針對各類攻擊的防護效果可達到95%以上，但是此類防護設備僅建議作為主要防護手段的補充，不要完全依靠設備保障Web服務器的安全，并從代碼層面盡早進行漏洞的修復。