WEB防护

WEB防护的范围比较广，主要是指针对web安全而做的各种防御措施，
包含应对xss、csrf等漏洞攻击的应对方式。
Web防护是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品，
主要用于防御针对网络应用层的攻击，
像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。

Web应用防火墙属于硬件级别防火墙，
对网站流量进行恶意特征识别及防护，
将正常、安全的流量回源到服务器。
避免网站服务器被恶意入侵，
保障业务的核心数据安全，
解决因恶意攻击导致的服务器性能异常问题。

同传统的防火墙不同的是，
web应用防火墙位于两个或多个网络之间，
它们是实施网间访问控制的一组组建的集合，
内部和外部网络之间的所有网络数据都必须经过防火墙，
只有符合安全策略的数据才能通过防火墙，
它工作再开放系统互连参考模型的网络层，
通过地址转换、访问控制机器的状态检测等功能，
对企业网络层数据进行保护。

正常请求：本机发送请求->Web服务器->返回响应给本机

代理(proxy)：本机发送请求->代理服务器->Web服务器->返回响应给代理->代理返回本机

高匿代理：隐藏本机ip不被发现，伪装成一个正常的用户访问

普匿代理：告诉别人使用的是代理，但是不显示本机ip

透明代理：告诉别人使用的是代理，并显示本机ip

应用：里面存放多个url地址，并且对每个url进行代理保护
api：某个url的行为（get/post/put/...）
策略：对应用或api的保护措施（两者的保护方向不同）
设置不同的应用和api，设置不同的策略，
在资产管理这边，将不同的策略分配给各个应用和api

remote_addr：指的是当前直接请求的客户端IP地址
当不存在代理时，获取的就是本机真实ip
x-forwarded-for：当使用代理时，这里获取的是真实ip，remote_addr获取的是代理ip