WEB应用防火墙WAF 的配置跟 CDN 的配置差不多，如果类似 CDN 的配置，那么该 WAF 的部署方式属于串连部署，就是所有流量先经过 WAF 设备，然后再到后端服务器，这样对于攻击事件，可以做到实时拦截，有一个缺点就是，容易误伤用户，如果 WAF 设备出现故障，那么会影响一大片用户的访问，造成 p0 级故障，这是做安全防御不想看到的。

那么还有啥方式呢？就是旁路部署的方式，原理就是将所有流量镜像到 WAF 设备，对于 WAF 设备来说，流量是实时的，但是对于目标系统来说只是将流量复制了一份而已，这种部署方式无法做到实时拦截，需要 WAF 审计出攻击事件之后，再给目标系统发送指令，来对攻击来源进行限制，比如封 IP，封账号之类的操作。

如何识别呢？首先可以尝试识别 CDN 的那种方式，从 IP、CNAME 上去匹配相应规则，这种可以识别那些 WAF 串联在目标与用户之间的 WAF，而旁路 WAF 部署则需要进行 WAF 触发拦截之后，根据相应数据来进行规则判断 。

核心原理就是，有一个 WAF 指纹库，通过构造恶意 payload 来进行触发 WAF 拦截，然后再进行指纹比对，如果能比对上则说明存在 WAF，比如 sqlmap 检测 WAF 的 Payload：

HEURISTIC_PAYLOAD = "1 AND 1=1 UNION ALL SELECT 1,NULL,'<script>alert(\"XSS\")</script>',table_name FROM information_schema.tables WHERE 2>1--/**/; EXEC xp_cmdshell('cat ../../../etc/passwd')#"  # Reference:

https://github.com/sqlmapproject/sqlmap/blob/master/lib/core/settings.py

当我们在一个没有 WAF 的网站做测试时，使用上面的 payload 是不会有任何变化的，如图：

https://edu.xazlsec.com/?1%20AND%201=1%20UNION%20ALL%20SELECT%201,NULL,%27%3Cscript%3Ealert(/%22XSS/%22)%3C/script%3E%27,table_name%20FROM%20information_schema.tables%20WHERE%202%3E1--/etc/passwd%27)#

当我们在一个有 WAF 的网站测试时，出现了跟正常访问不一样的画面，这就证明该网站存在了 WAF，因为 WAF 厂商也要考虑用户体验问题，正常用户难免会触发 WAF 拦截，WAF 误伤问题很常见，所以拦截页面都还是比较友好的，而且很有辨识度，能够即使发现问题，经过投诉之后，及时解决，这对于识别 waf 来说也提供了便利。