相信对网络安全有一定的同学一定听到过WAF绕过这个名词，什么是WAF绕过?它又是如何被绕过的?以下是详细的内容：

　　什么是WAF绕过?

　　与传统的Firewall (防火墙) 不同，WAF针对的是应用层，它是Web应用防火墙，全称为Web Application Firewall，通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的产品。

　　WAF可以发现和拦截各类Web层面的攻击，记录攻击日志，实时预警提醒，在Web应用本身存在缺陷的情况下保障其安全。也是一款集网站内容安全防护、网站资源安全防护及流量保护功能为一体的服务器工具。为用户提供实时网站安全防护，避免各类针对网站的攻击带来的危害。

　　WAF又是如何被绕过的呢?

　　在实际的渗透测试过程中，经常会碰到网站存在WAF的情况。网站存在WAF，意味着我们不能使用安全工具对网站进行测试，因为一旦触碰了WAF的规则，轻则丢弃报文，重则拉黑IP。所以，需要手动进行WAF的绕过，而绕过WAF前肯定需要对WAF 的工作原理有一定的理解。

　　首先，WAF分为非嵌入型WAF和嵌入型WAF，非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的;而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的，而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面，而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走，其对抗畸形报文、骚操作绕过的能力越来越强。当然，在部署维护成本方面，也是越高的。