WAF在“应用程序”级别对流量应用过滤规则（例如，它尝试检测 SQL 注入尝试）。这要求 WAF看到流量，即客户端可能发生的任何 SSL 都必须在 WAF 处停止。但是您通常需要一些 SSL 来保护客户端和 WAF 之间的流量（实际上，您通常更希望它在该链路上而不是 WAF 和服务器本身之间，因为 WAF 和服务器通常彼此靠近）。

WAF 可以通过两种方式查看受 SSL 保护的流量：

• WAF 具有（SSL 感知）服务器使用的私钥的副本，因此可以在数据流动时对其进行解密。（这可能意味着对服务器使用的密码套件的一些限制；即没有 DHE）。

• WAF 本身运行一个 SSL 服务器，这是客户端看到的。WAF 解密数据，在其上运行它的魔法，然后通过新连接将其转发到服务器，该连接可能受 SSL 保护，也可能不受 SSL 保护。

您使用哪一个取决于您的 WAF 实例可以做什么以及您如何配置它。

是的。

无论哪种方式，都需要在 WAF 上安装 SSL 证书，以便它检查加密的流量。