web攻击都有哪些?怎么防护?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了web攻击都有哪些?怎么防护?相关的知识,希望对你有一定的参考价值。

1、DoS和DDoS攻击(DoS(Denial of Service),即拒绝服务,造成远程服务器拒绝服务的行为被称为DoS攻击。其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击)
防范:(1) 反欺骗:对数据包的地址及端口的正确性进行验证,同时进行反向探测。(2) 协议栈行为模式分析:每个数据包类型需要符合RFC规定,这就好像每个数据包都要有完整规范的着装,只要不符合规范,就自动识别并将其过滤掉。(3) 特定应用防护:非法流量总是有一些特定特征的,这就好比即便你混进了顾客群中,但你的行为还是会暴露出你的动机,比如老重复问店员同一个问题,老做同样的动作,这样你仍然还是会被发现的。(4) 带宽控制:真实的访问数据过大时,可以限制其最大输出的流量,以减少下游网络系统的压力。
2、CSRF(Cross Site Request Forgery),即跨站请求伪造,是一种常见的Web攻击,但很多开发者对它很陌生。CSRF也是Web安全中最容易被忽略的一种攻击。
防范:(1) 验证码。应用程序和用户进行交互过程中,特别是账户交易这种核心步骤,强制用户输入验证码,才能完成最终请求。在通常情况下,验证码够很好地遏制CSRF攻击。但增加验证码降低了用户的体验,网站不能给所有的操作都加上验证码。所以只能将验证码作为一种辅助手段,在关键业务点设置验证码。(2) Referer Check。HTTP Referer是header的一部分,当浏览器向web服务器发送请求时,一般会带上Referer信息告诉服务器是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。可以通过检查请求的来源来防御CSRF攻击。正常请求的referer具有一定规律,如在提交表单的referer必定是在该页面发起的请求。所以通过检查http包头referer的值是不是这个页面,来判断是不是CSRF攻击。但在某些情况下如从https跳转到http,浏览器处于安全考虑,不会发送referer,服务器就无法进行check了。若与该网站同域的其他网站有XSS漏洞,那么攻击者可以在其他网站注入恶意脚本,受害者进入了此类同域的网址,也会遭受攻击。出于以上原因,无法完全依赖Referer Check作为防御CSRF的主要手段。但是可以通过Referer Check来监控CSRF攻击的发生。(3) Anti CSRF Token。目前比较完善的解决方案是加入Anti-CSRF-Token,即发送请求时在HTTP 请求中以参数的形式加入一个随机产生的token,并在服务器建立一个拦截器来验证这个token。服务器读取浏览器当前域cookie中这个token值,会进行校验该请求当中的token和cookie当中的token值是否都存在且相等,才认为这是合法的请求。否则认为这次请求是违法的,拒绝该次服务。这种方法相比Referer检查要安全很多,token可以在用户登陆后产生并放于session或cookie中,然后在每次请求时服务器把token从session或cookie中拿出,与本次请求中的token 进行比对。由于token的存在,攻击者无法再构造出一个完整的URL实施CSRF攻击。但在处理多个页面共存问题时,当某个页面消耗掉token后,其他页面的表单保存的还是被消耗掉的那个token,其他页面的表单提交时会出现token错误。
3、XSS(Cross Site Scripting),跨站脚本攻击。为和层叠样式表(Cascading Style Sheets,CSS)区分开,跨站脚本在安全领域叫做“XSS”。
防范:(1) 输入过滤。永远不要相信用户的输入,对用户输入的数据做一定的过滤。如输入的数据是否符合预期的格式,比如日期格式,Email格式,电话号码格式等等。这样可以初步对XSS漏洞进行防御。上面的措施只在web端做了限制,攻击者通抓包工具如Fiddler还是可以绕过前端输入的限制,修改请求注入攻击脚本。因此,后台服务器需要在接收到用户输入的数据后,对特殊危险字符进行过滤或者转义处理,然后再存储到数据库中。(2) 输出编码。服务器端输出到浏览器的数据,可以使用系统的安全函数来进行编码或转义来防范XSS攻击。在php中,有htmlentities()和htmlspecialchars()两个函数可以满足安全要求。相应的javascript的编码方式可以使用JavascriptEncode。(3) 安全编码。开发需尽量避免Web客户端文档重写、重定向或其他敏感操作,同时要避免使用客户端数据,这些操作需尽量在服务器端使用动态页面来实现。(4) HttpOnly Cookie。预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时,将其属性设为HttpOnly,就可以避免该网页的cookie被客户端恶意JavaScript窃取,保护用户cookie信息。(5)WAF(Web Application Firewall),Web应用防火墙,主要的功能是防范诸如网页木马、XSS以及CSRF等常见的Web漏洞攻击。由第三方公司开发,在企业环境中深受欢迎。
4、SQL注入(SQL Injection),应用程序在向后台数据库传递SQL(Structured Query Language,结构化查询语言)时,攻击者将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
防范:(1) 防止系统敏感信息泄露。设置php.ini选项display_errors=off,防止php脚本出错之后,在web页面输出敏感信息错误,让攻击者有机可乘。(2) 数据转义。设置php.ini选项magic_quotes_gpc=on,它会将提交的变量中所有的’(单引号),”(双引号),\(反斜杠),空白字符等都在前面自动加上\。或者采用mysql_real_escape()函数或addslashes()函数进行输入参数的转义。(3) 增加黑名单或者白名单验证。白名单验证一般指,检查用户输入是否是符合预期的类型、长度、数值范围或者其他格式标准。黑名单验证是指,若在用户输入中,包含明显的恶意内容则拒绝该条用户请求。在使用白名单验证时,一般会配合黑名单验证。
5、上传漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。该漏洞允许用户上传任意文件可能会让攻击者注入危险内容或恶意代码,并在服务器上运行。
防范: (1)检查服务器是否判断了上传文件类型及后缀。 (2) 定义上传文件类型白名单,即只允许白名单里面类型的文件上传。 (3) 文件上传目录禁止执行脚本解析,避免攻击者进行二次攻击。 Info漏洞 Info漏洞就是CGI把输入的参数原样输出到页面,攻击者通过修改输入参数而达到欺骗用户的目的。
参考技术A DDOS ,sql注入,网站漏洞,应用漏洞, 开启防火墙,数据检测,流量监控,及时打补丁等 参考技术B 大多数都是通过一些敏感端口进行的吧,关关敏感端口,打开防火墙、杀毒软件,基本就差不多了。其他一些系统漏洞、反序列化漏洞什么的另当别论。

DDoS 攻击与防护:如何识别 DDoS 攻击?DDoS 防护 ADS 服务有哪些?

文章目录


前言

DDoS 攻击是使得用户电脑的网络或系统资源耗尽,服务暂时中断或停止,导致合法用户不能够访问正常网络服务的行为。针对 DDoS 攻击,华为云提供多种安全防护方案,DDoS 原生高级防护和 DDoS 高防可为用户提供全面海量的 DDoS 防护服务。由于 DDoS 攻击与防护内容较多且本文篇幅有限,故我们将整体内容拆分为两部分,在本文中我们将介绍 DDoS 攻击的定义和常见攻击类型以及华为 DDoS 防护的服务功能特性。


一、什么是 DDoS 防护 ADS?

1.1、什么是 DDoS 攻击?

拒绝服务(Denial of Service,简称 DoS)攻击也称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,服务暂时中断或停止,导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动 DoS 攻击时,称为分布式拒绝服务攻击(Distributed Denial of Service Attack,简称 DDoS)

1.2、如何识别 DDoS 攻击?

DDoS 攻击最明显的特征是网络异常缓慢(打开文件或访问网站)

但是,造成类似性能问题的原因有多种(如合法流量激增),因此通常需要进一步调查。通过流量分析工具可以找到 DDoS 攻击的一些明显迹象,如:

  • 特定网站无法访问。
  • 无法访问任何网站。
  • 垃圾邮件的数量急剧增加。
  • 无线或有线网络连接异常断开。
  • 长时间尝试访问网站或任何互联网服务时被拒绝。
  • 服务器容易断线、卡顿、lag。

1.3、从 Web 访问流程分析 DDoS 攻击

当访问某网站的资源时,一次访问的简化过程具体如下图所示:


通过上图我们可以看到一次 Web 访问至少涉及了 3 个协议,DDoS 攻击针对 Web 服务器的攻击就是从该流程入手发起的。

1.4、DDoS 攻击类型

因此我们从计算机网络层面将 DDoS 攻击类型归为以下四类,具体如下表所示:

攻击类型说明举例
网络层攻击通过大流量拥塞被攻击者的网络带宽,导致被攻击者的业务无法正常响应客户访问。NTP Flood 攻击。
传输层攻击通过占用服务器的连接池资源,达到拒绝服务的目的。SYN Flood 攻击、ACK Flood 攻击、ICMP Flood 攻击。
会话层攻击通过占用服务器的 SSL 会话资源,达到拒绝服务的目的。SSL 连接攻击。
应用层攻击通过占用服务器的应用处理资源,极大消耗服务器处理性能,达到拒绝服务的目的。HTTP Get Flood 攻击、HTTP Post Flood 攻击。

二、DDoS 防护 ADS 介绍

针对 DDoS 攻击,华为云提供多种安全防护方案,您可以根据您的实际业务选择合适的防护方案。华为云 DDoS 防护服务Anti-DDoS Service,简称 ADS)提供了 DDoS 原生基础防护(Anti-DDoS 流量清洗)、DDoS 原生高级防护(DDoS 原生标准版、DDoS 原生专业版和 DDoS 原生铂金版)和 DDoS 高防(DDoS 高防中国地区和 DDoS 高防国际版)三个子服务。

三个子服务的主要区别具体如下图所示:

2.1、Anti-DDoS 流量清洗

Anti-DDoS 流量清洗通过对互联网访问公网 IP 的业务流量进行实时监测,及时发现异常 DDoS 攻击流量。在不影响正常业务的前提下,根据用户配置的防护策略,清洗掉攻击流量。同时,Anti-DDoS 为用户生成监控报表,清晰展示网络流量的安全状况。

Anti-DDoS 流量清洗免费防护华为云上的公网 IP(IPv4/IP6)资源,业务部署到华为云即可享用,具体如下图所示:

2.2、DDoS 原生高级防护

华为云推出的针对华为云 ECS、ELB、WAF、EIP 等云服务直接提升其 DDoS 防御能力的安全服务。DDoS 原生高级防护对于华为云上的 IP 生效,无需更换 IP 地址,通过简单的配置,DDoS 原生高级防护提供的安全能力就可以直接加载到云服务上,提升云服务的安全防护能力

DDoS 原生专业防护对于华为云上的公网 IP(IPv4/IP6)资源,提供全力防护能力,具体如下图所示:

2.3、DDoS 高防

DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务,将所有的公网流量都引流至高防 IP,进而隐藏源站,避免源站(用户业务)遭受大流量 DDoS 攻击,具体如下图所示:

三、DDoS 原生高级防护/高防架构

接下来我们将进一步剖析 DDoS 原生高级防护和 DDoS 高防的技术架构。

3.1、DDoS 原生高级防护原理

检测中心根据用户配置的安全策略,检测网络访问流量。当发生攻击时,将数据引流到清洗设备进行实时防御,清洗异常流量,转发正常流量,运行流程具体如下图所示:

3.2、流量清洗机制

  • 畸形报文过滤针对违反协议标准的报文进行检查和丢弃;
  • 特征过滤使用华为强大的指纹学习和匹配算法,可识别带有指纹的攻击流量,同时可针对自定义报文特征,如 IP、端口等信息对报文进行过滤;
  • 虚假源认证应用层源认证能验证流量源 IP 的访问意图和真实性;
  • 会话分析行为分析能针对 TCP 连接和应用 DDoS 攻击的慢速、访问频率恒定、访问资源单一的特点进行统计分析,对具有较强躲避效果的僵尸网络 DDoS 攻击有良好的防范效果;
  • 智能限速则可以针对大流量正常行为进行限制和控制,保证服务器的可用性。

3.3、DDoS 原生高级防护业务架构

异常流量监管(DDoS 防御)系统,主要包括检测中心清洗中心管理中心三大组件。通常检测中心负责对分光或镜像流量做检测,发现防护目标 IP 流量异常通知管理中心,再由管理中心通知清洗中心引流。

DDoS 原生高级防护业务架构具体如下图所示:

3.4、DDoS 高防原理

DDoS 高防服务通过高防 IP 代理源站 IP 对外提供服务,将所有的公网流量都引流至高防 IP,进而隐藏源站,避免源站(用户业务)遭受大流量 DDoS 攻击。DDoS 高防引流和转发原理运行流程具体如下图所示:

3.5、DDoS 高防业务架构

DDoS 高防服务采用分层防御分布式清洗,通过精细化多层过滤防御技术,可以有效检测和过滤攻击流量,运行流程具体如下图所示:

四、DDoS 高防功能特性

4.1、防御攻击

4.1.1、DDoS 攻击排名

2020 年,主要的攻击类型为 UDP FloodSYN FloodNTP Reflection Flood,这三大类攻击占了攻击次数的 56%。UDP Flood 和 SYN Flood 依然是 DDoS 的主要攻击手法。攻击类型的攻击次数分布情况具体如下图所示:

4.1.2、UDP Flood

UDP 攻击是攻击者利用 UDP 协议的交互过程特点,通过僵尸网络,向服务器发送大量各种类型的 UDP 异常报文,造成服务器的网络带宽资源被耗尽,从而导致服务器的处理能力降低、运行异常。

4.1.3、SYN Flood

SYN Flood 攻击是一种典型的 DoS 攻击,是一种利用 TCP 协议缺陷,发送大量伪造的 TCP 连接请求,从而使被攻击方资源耗尽(CPU 满负荷或内存不足)的攻击方式。该攻击将使服务器 TCP 连接资源耗尽,停止响应正常的 TCP 连接请求。

4.1.4、NTP Reply Flood

NTP 反射放大攻击是一种分布式拒绝服务攻击,其中攻击者利用网络时间协议(NTP)服务器功能,以便用一定数量的 UDP 流量压倒目标网络或服务器,使常规流量无法访问目标及周围的基础设施。

4.1.5、DNS Reflect Flood

DNS 反射放大攻击主要是利用 DNS 回复包比请求包大的特点,放大流量,伪造请求包的源 IP 地址作为受害者 IP,将应答包的流量引入受害的服务器,受害者查不到攻击者的真实 IP。

4.1.6、DDoS 高防提供全面的 DDoS 防护

DDoS 高防对 UDP Flood、SYN Flood、ICMP Flood、HTTP Flood、Ping of Death、Smurf Attack、Fraggle Attack、Slowloris、Application Attcaks、NTP Amplification、Advanced Persistent Threats、Zero-day Attacks 均能提供有效防护,具体如下图所示:

4.2、流量防护

4.2.1、DDoS 高防支持 T 级攻击流量清洗功能

支持 T 级攻击流量清洗功能,确保用户业务在遭受大流量 DDoS 攻击时仍然稳定可靠,防护设置具体如下图所示:


攻击峰值大于所选的弹性防护带宽,则高防 IP 会被黑洞,在购买高防实例后,可以根据实际业务情况,修改弹性防护带宽。

4.2.2、华为云黑洞策略

当服务器(云主机)遭受超出防御范围的流量攻击时,华为云对其采用黑洞策略,即屏蔽该服务器(云主机)的外网访问,避免对华为云中其他用户造成影响,保障华为云网络整体的可用性和稳定性

4.2.3、DDoS 高防黑洞解封

DDoS 高防服务黑洞解封时间默认为 30 分钟,具体时长与当日黑洞触发次数和攻击峰值相关,最长可达 24 小时。

如需提前解封,需要用户升级 DDoS 高防服务并联系华为技术支持。

4.3、应用层防护

DDoS 高防提供的应用层防护支持 HTTP/HTTPS 协议自定义端口的业务系统防护,通过配置 CNAME 接入高防服务,通过 DNS 进行分布式流量分发,运行流程具体如下图所示:

4.4、 CC 防护

4.4.1、什么是 CC 攻击?

CCChallengeCollapsar,挑战黑洞)攻击是 DDoS 攻击的一种类型,是攻击者利用代理服务器向受害服务器发送大量貌似合法的请求,攻击者控制某些主机不停地发大量协议正常的数据包给对方服务器造成服务器资源耗尽,一直到宕机奔溃,攻击流程具体如下图所示:

4.4.2、防护原理

  • 基于 IP 限制的防护:通过防护墙或者 nginx server 调整成单个 IP 的限制连接数,以及每分钟最大请求次数,设置一定的阈值,动态调整,当某 IP 超过指定阈值后,进行拦截或黑名单处理,让目标 IP 无法到达应用层,影响正常用户使用,在网络层就进行屏蔽处理。
  • 基于用户频率调用限制:将应用的新用户和老用户区分至不同的服务器群,如新用户每分钟请求上限为 60 次/分钟,老用户为 45 次/分钟,如新用户突然暴涨,混入了大量攻击者注册的账号进行了攻击,我们则可以将他们路由到另一个服务器群,导致老用户所在的服务群不受正常影响,然后找出异常的用户进行封停和拦截处理。

4.4.3、DDoS 高防支持多种 CC 防护规则

DDoS 高防支持多种 CC 防护规则,支持 IP 限速用户限速自定义阻断方式进行 CC 防护,三种防护具体如下图所示:

4.5、黑白名单

添加白名单免检,白名单中的 IP 会被放行;添加黑名单阻断,黑名单中的 IP 会被拦截,具体如下图所示:

五、DDoS 原生高级防护功能特性

5.1、透明接入

无需修改域名解析设置源站保护,可以直接对华为云上公网 IP 资源进行防护。购买 DDoS 原生高级防护后,华为云上的公网 IP 一键接入即可使用,对业务零影响,操作流程具体如下图所示:


在操作方面,通过设置 EIP 到具体的防护对象,共享全力防护清洗黑洞阈值,具体如下图所示:

5.2、全力防护

5.2.1、DDoS 原生高级防护提供全力防护

全力防护是 DDoS 原生高级防护提供的 DDoS 防御能力,指华为云根据当前区域下 DDoS 本地清洗中心的网络和资源能力,尽可能帮助您防御 DDoS 攻击。全力防护的防护能力随着华为云网络能力的不断提升而相应提升

5.2.2、当前华为云 Region 云原生防护能力

  • 当前只有华北-北京四、华东-上海一、华南-广州三个 Region 上线。
  • DDoS 原生防护实例只能防护相同区域的云资源,不能跨 Region 防护。例如:华东-上海一的云原生防护实例只能防护华东-上海一的云资源。
  • 云原生防护不承诺最大防护能力。

当前华为云所在 Region 及对应防护带宽具体如下表所示:

所在 Region防护带宽
华东(上海一)不低于 20G
华北(北京四)不低于 20G
华南(广州)不低于 20G

5.3、联动防护

通过配置 DDoS 阶梯调度策略,DDoS 原生专业版可以调度 DDoS 高防对其公网 IP 资源进行防护,抵御海量攻击,其防御流程具体如下图所示:


对于 DDoS 阶梯调度策略的配置,作为参考,具体如下图所示:


通过对于 DDoS 阶梯调度策略的配置,可以实现的优势有:

  • 通过华为云原生专业防护版防御日常攻击,无需更换 IP 地址,业务流量直达源站服务器,不增加延迟。
  • 发生海量攻击时,联动调度 DDoS 高防对 DDoS 原生专业防护对象中的云资源进行防护,业务流量经过 DDoS 高防转发。

5.4、IPv4/IPv6 双协议防护

支持同时为 IPv4 和 IPv6 两种类型的 IP 提供防护,满足用户对 IPv6 类型业务防护需求,具体如下图所示:


设置防护对象的实例具体如下图所示:

5.5、流量清洗

5.5.1、DDoS 原生高级防护流量清洗策略

当 IP 遭受的 DDoS 攻击带宽超过配置的清洗阈值时,触发 DDoS 原生高级防护对攻击流量进行清洗,保障您的业务可用,具体如下图所示:

5.5.2、DDoS 原生高级防护黑洞解封

  • DDoS 原生高级防护黑洞解封默认时间为 24 小时。当“华北”、“华东”和“华南”区域的公网 IP 封堵时,可以使用自助解封功能提前解封黑洞。
  • 购买自助解封配额后,您可以对进入封堵状态的防护 IP 提前解封黑洞,具体如下图所示:

5.5.3、自助解封封堵 IP

对于封堵 IP 完成自助解封,具体如下图所示:


自助解封策略规则说明如下:

  • 对于同一防护 IP,当日首次解封时间必须大于封堵时间 30 分钟以上才能解封。解封时间 = 2(n-1)*30 分钟(n 代表解封次数)。例如,当日第一次解封需要封堵开时候 30 分钟,第二次解封需要封堵开始后 60 分钟,第三次解封需要封堵开始后 120 分钟。
  • 对于同一防护 IP,如果上次解封时间和本次解封时间间隔小于 30 分钟,则本次解封时间的间隔 = 2n*30 分钟(n 代表解封次数)。例如,该 IP 已解封过一次,上次解封时间为 10:20,本次发生封堵时间为 10:40,两者时间间隔小于 30 分钟,则本次需要封堵开始后 120 分钟才能解封,即 12:40 可以解封(本次发生封堵时间 10:40 后 120 分钟)。

5.6、IP 黑白名单

5.6.1、DDoS 原生高级防护黑白名单

通过配置 IP 黑名单或 IP 白名单来封禁或者放行访问 DDoS 原生高级防护的源 IP,从而限制访问您业务资源的用户,具体如下图所示:

5.6.2、IP 黑白名单操作说明

  • 选择“黑名单”页签,单击操作列的“删除”或批量勾选要删除的黑名单,在列表左上方单击“删除”,被删除的黑名单 IP,设备将不再拦截其访问流量,具体如下图所示:

  • 选择“白名单”页签,单击操作列的“删除”或批量勾选要删除的白名单,在列表左上方单击“删除”,被删除的白名单 IP,设备将不再放行其访问流量,具体如下图所示:

5.7、协议封禁

DDoS 原生高级防护支持 UDP 协议封禁。根据协议类型一键封禁访问 DDoS 原生高级防护的源流量。例如,访问 DDoS 原生高级防护的源流量如果没有 UDP( User Datagram Protocol,用户协议数据报协议)业务,建议封禁 UDP 协议,具体如下图所示:

六、续(补充)

由于 DDoS 攻击与防护内容较多且篇幅有限,我们将整体内容拆分为两部分,需要查看全文的小伙伴们点击下面链接自行查阅:

《DDoS 攻击与防护(一):如何识别 DDoS 攻击?DDoS 防护 ADS 服务有哪些?》
《DDoS 攻击与防护(二):DDoS 防护购买和使用入门指南,DDoS 防护服务有哪些应用场景?》


总结

本文为 DDoS 攻击与防护的首篇,给大家介绍了什么是 DDoS 攻击以及 DDoS 防护 ADS,同时通过深入剖析 DDoS 高防和 DDoS 原生高级防护的技术架构及防护原理对二者进行了详细对比,可以发现二者在不同防护领域的特性可谓相得益彰。后续我们将在第二篇的内容中给大家整理出 DDoS 防护购买和使用入门指南,以及不同 DDoS 防护服务的应用场景,便于大家进行选择。


我是白鹿,一个不懈奋斗的程序猿。望本文能对你有所裨益,欢迎大家的一键三连!若有其他问题、建议或者补充可以留言在文章下方,感谢大家的支持!

以上是关于web攻击都有哪些?怎么防护?的主要内容,如果未能解决你的问题,请参考以下文章

黑客攻击web,窃取信息(或破解加密流通数据)的手段都有哪些,请列举并简要说明原理

DDoS 攻击与防护:如何识别 DDoS 攻击?DDoS 防护 ADS 服务有哪些?

DDoS 攻击与防护:如何识别 DDoS 攻击?DDoS 防护 ADS 服务有哪些?

DDoS攻击都有哪些防御方法?怎么做好防御工作?

CC防护的策略有哪几种?

网站安全防护(WAF)有啥用