云計算服務器-WAF與傳統(tǒng)網絡設備的區(qū)別

WAF是什么？WAF的全稱是(Web Application Firewall)即Web應用防火墻，簡稱WAF。國際上公認的一種說法是：Web應用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

WAF常見的部署方式：

WAF關鍵技術 WAF的透明代理技術原理：

圖：WAF透明代理技術原理透明代理技術基于TCP連接，網絡協(xié)議棧應用層的代理技術，實現(xiàn)與客戶端以及服務器雙向獨立的TCP連接建立，隔絕客戶端和服務器的直接TCP連接建立。通訊過程如下：

圖：WAF通信過程WAF主要會更改如下數據包內容項：

客戶端TCP源端口 客戶端源MAC/服務器源MAC地址 長短連接協(xié)議版本 MIME類型 Web應用安全防護策略：

基于WEB攻擊特征庫的正則表達式的匹配方式;策略規(guī)則組織成規(guī)則鏈表的方式，深度檢查請求頭部、請求提交內容，響應頭部，響應內容體等內容進行逐條匹配檢查。

主要可以防止以下攻擊：

HTTP協(xié)議合規(guī)性 SQL注入阻斷 跨站點腳本/CSRF攻擊防護 表單/cookie篡改防護 DoS攻擊防護 敏感信息泄漏 目錄遍歷 防掃描器探測攻擊 Web應用安全審計：

WAF可以審計所有用戶訪問行為，通過對訪問記錄的深度分析，可以發(fā)掘出一些潛在的威脅情況，對于攻擊防護遺漏的請求，仍然可以起到追根索源的目的。

防CC：

CC攻擊的原理就是攻擊者控制某些主機不停地發(fā)大量數據包給對方服務器造成服務器資源耗盡，一直到宕機崩潰。CC主要是用來消耗服務器資源的，每個人都有這樣的體驗：當一個網頁訪問的人數特別多的時候，打開網頁就慢了，CC就是模擬多個用戶(多少線程就是多少用戶)不停地進行訪問那些需要大量數據操作(就是需要大量CPU時間)的頁面，造成服務器資源的浪費，CPU長時間處于100%，永遠都有處理不完的連接直至就網絡擁塞，正常的訪問被中止。

防止CC攻擊的原理：

可定義多條DOS策略 可支持多個URL匹配算法 可支持應用層IP匹配算法 Web應交交付：

“應用交付”，實際上就是指應用交付網絡(Application Delivery Networking，簡稱ADN)，它利用相應的網絡優(yōu)化/加速設備，確保用戶的業(yè)務應用能夠快速、安全、可靠地交付給內部員工和外部服務群。

從定義中可以看出應用交付的宗旨是保證企業(yè)關鍵業(yè)務的可靠性、可用性與安全性。應用交付應是多種技術的殊途同歸，比如廣域網加速、負載均衡、Web應用防火墻…針對不同的應用需求有不同的產品依托和側重。

WAF一般可做的應用交付主要是通過：

web加速與數據壓縮 優(yōu)化服務器性能。 WAF的多種部署模式

WAF一般支持透明代理，反向代理，旁路監(jiān)控，橋模式部署模式。

透明代理串接模式：

圖：WAF部署場景-透明代理串接模式透明代理部署模式支持透明串接部署方式。串接在用戶網絡中，可實現(xiàn)即插即用，無需用戶更改網絡設備與服務器配置。部署簡單易用，應用于大部分用戶網絡中。

部署特點：

不需要改變用戶網絡結構，對于用戶而言是透明的 安全防護性能強 故障恢復快，可支持Bypass

透明代理串接模式是采用最多的部署模式，防御效果好。

反向代理模式：

反向代理又分為兩種模式，反向代理(代理模式)與反向代理(牽引模式)。

代理模式：

圖：WAF部署場景-反向代理(代理模式)WAF采用反向代理模式以旁路的方式接入到網絡環(huán)境中，需要更改網絡防火墻的目的映射表，網絡防火墻映射WAF的業(yè)務口地址，將服務器的IP地址進行隱藏。

即在圖中，當外網去訪問www.test.com時，會解析到110.1.1.1。在網絡防火墻FW上，會通過nat-server技術，將110.1.1.1外網地址解析為192.168.1.1的內網地址。而192.168.1.1為WAF的業(yè)務口地址，WAF會去訪問后端服務器192.168.1.100，將包返回給WAF，WAF再返回給用戶，起到了代理作用，隱藏了真正的Web服務器地址。

部署特點：

可旁路部署，對于用戶網絡不透明，防護能力強 故障恢復時間慢，不支持Bypass，恢復時需要重新將域名或地址映射到原服務器。 此模式應用于復雜環(huán)境中，如設備無法直接串接的環(huán)境。 訪問時需要先訪問WAF配置的業(yè)務口地址。 支持VRRP主備 牽引模式：

圖：WAF部署場景-反向代理(牽引模式)WAF采用反向代理模式以旁路的方式接入到網絡環(huán)境中，需要在核心交換機上做策略路由PBR，將客戶端訪問服務器的流量牽引到WAF上，策略路由的下一跳地址為WAF的業(yè)務口地址。

部署特點:

可旁路部署，對于用戶網絡不透明。 故障恢復時間慢，不支持Bypass，恢復時需要刪除路由器策略路由配置。 此模式應用于復雜環(huán)境中，如設備無法直接串接的環(huán)境。 訪問時仍訪問網站服務器 旁路監(jiān)控模式：

圖：WAF部署場景-旁路監(jiān)控模式采用旁路監(jiān)聽模式，在交換機做服務器端口鏡像，將流量復制一份到WAF上，部署時不影響在線業(yè)務。在旁路模式下WAF只會進行告警而不阻斷。

透明橋模式：

圖：WAF部署場景-透明橋模式透明橋模式是真正意義上的純透明，不會改變更改數據包任何內容，比如源端口、TCP序列號，橋模式不跟蹤TCP會話，可支持路由不對稱環(huán)境。

WAF可靠性部署-透明代理下的HA主備模式：

圖：WAF部署場景-透明代理下的HA主備模式雙機HA模式下，WAF工作于Active，Standby的模式，即其中一臺WAF處于檢測防護模式時，另一臺為備用，不進行工作。當主WAF出現(xiàn)故障，或者與主WAF連接的上下行鏈路出現(xiàn)故障時，備用的WAF將協(xié)商進入檢測防護模式。

流量的切換：根據流量來進行判斷，從哪邊來的流量走哪邊。 當兩邊同時有流量的時候，需要使用主主模式，不需要心跳線。 WAF可靠性部署-反向代理下的HA主備模式：

圖：WAF部署場景-反向代理下的HA主備模式WAF在反向代理下通過VRRP協(xié)議來協(xié)商主備關系，正常情況下只有主機工作，備機不工作，當WAF主機出現(xiàn)問題時，備機自動切換為主機進行工作。

分享標題：云計算服務器-WAF與傳統(tǒng)網絡設備的區(qū)別
當前路徑：http://www.muchs.cn/news19/311719.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供手機網站建設、靜態(tài)網站、外貿建站、App設計、做網站、營銷型網站建設

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)