2022-10-06 分類: 網(wǎng)站建設(shè)
WAF是什么?
WAF的全稱是(Web Application Firewall)即Web應(yīng)用防火墻,簡稱WAF。
國際上公認(rèn)的一種說法是:Web應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。
WAF常見的部署方式:
WAF常見部署方式:WAF一般部署在Web服務(wù)器之前,用來保護(hù)Web應(yīng)用。
那么WAF能做什么?
WAF可以過濾HTTP/HTTPS協(xié)議流量,防護(hù)Web攻擊。 WAF可以對(duì)Web應(yīng)用進(jìn)行安全審計(jì) WAF可以防止CC攻擊 應(yīng)用交付 CC攻擊:通過大量請(qǐng)求對(duì)應(yīng)用程序資源消耗大的應(yīng)用,如WEB查詢數(shù)據(jù)庫應(yīng)用,從而導(dǎo)致服務(wù)器拒絕服務(wù) ,更詳細(xì)CC攻擊介紹: 應(yīng)用交付:實(shí)際上就是指應(yīng)用交付網(wǎng)絡(luò)(Application Delivery Networking,簡稱ADN),它利用相應(yīng)的網(wǎng)絡(luò)優(yōu)化/加速設(shè)備,確保用戶的業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付給內(nèi)部員工和外部服務(wù)群。從定義中可以看出應(yīng)用交付的宗旨是保證企業(yè)關(guān)鍵業(yè)務(wù)的可靠性、可用性與安全性。應(yīng)用交付應(yīng)是多種技術(shù)的殊途同歸,比如廣域網(wǎng)加速、負(fù)載均衡、Web應(yīng)用防火墻…針對(duì)不同的應(yīng)用需求有不同的產(chǎn)品依托和側(cè)重。
WAF不能做什么?
WAF不能過濾其他協(xié)議流量,如FTP、PoP3協(xié)議 WAF不能實(shí)現(xiàn)傳統(tǒng)防護(hù)墻功能,如地址映射 WAF不能防止網(wǎng)絡(luò)層的DDoS攻擊 防病毒WAF與傳統(tǒng)安全設(shè)備的區(qū)別:
傳統(tǒng)安全設(shè)備特點(diǎn):
IPS:針對(duì)蠕蟲、網(wǎng)絡(luò)病毒、后門木馬防護(hù),不具備WEB應(yīng)用層的安全防護(hù)能力 傳統(tǒng)FW:作為內(nèi)網(wǎng)與外網(wǎng)之間的一種訪問控制設(shè)備,提供3-4層的安全防護(hù)能力,不具備WEB應(yīng)用層的安全防護(hù)能力WAF特點(diǎn):
WAF是專業(yè)的應(yīng)用層安全防護(hù)產(chǎn)品。
具備威脅感知能力 具備HTTP/HTTPS深度檢測(cè)能力. 檢出率高,誤報(bào)率低/漏報(bào)率低 高性能 復(fù)雜環(huán)境下高穩(wěn)定性WAF的主要功能:
WAF主要是通過內(nèi)置的很多安全規(guī)則 來進(jìn)行防御。 可防護(hù)常見的SQL注入、XSS、網(wǎng)頁篡改、中間件漏洞等OWASP TOP10攻擊性。 當(dāng)發(fā)現(xiàn)攻擊后,可將IP進(jìn)行鎖定,IP鎖定之后將無法訪問網(wǎng)站業(yè)務(wù)。 也支持防止CC攻擊,采用集中度和速率雙重檢測(cè)算法。WAF的主要廠家:
國內(nèi):安恒,綠盟,啟明星辰 國外:飛塔,梭子魚,ImpervaWAF的發(fā)展歷程
WAF的發(fā)展主要經(jīng)歷了IPS架構(gòu),反向代理,透明代理和流模式。
IPS架構(gòu)的特點(diǎn):
優(yōu)勢(shì):
建立在原IPS架構(gòu)之上,部署簡單 不改變數(shù)據(jù)包內(nèi)容 性能較好劣勢(shì):
誤報(bào)及漏報(bào)率較高 難以解決HTTP慢攻擊及分片攻擊 難以實(shí)現(xiàn)復(fù)雜應(yīng)用,如應(yīng)用交付反向代理特點(diǎn):
優(yōu)勢(shì):
單臂部署,不需要串接在網(wǎng)絡(luò)中 實(shí)現(xiàn)應(yīng)用交付 安全防護(hù)能力好劣勢(shì):
會(huì)改變數(shù)據(jù)包內(nèi)容 性能較差 需要改變網(wǎng)絡(luò)配置,故障恢復(fù)慢。透明代理特點(diǎn):
優(yōu)勢(shì):
半透明部署,不需要改變網(wǎng)絡(luò)配置 實(shí)現(xiàn)應(yīng)用交付 安全防護(hù)能力好 故障恢復(fù)快劣勢(shì):
較少更改數(shù)據(jù)包內(nèi)容 性能一般流模式特點(diǎn):
優(yōu)勢(shì):
全透明部署,不改變網(wǎng)絡(luò)配置/數(shù)據(jù)包內(nèi)容 實(shí)現(xiàn)應(yīng)用交付 安全防護(hù)能力好 故障恢復(fù)快 性能好劣勢(shì):
對(duì)特殊構(gòu)造攻擊取決于WAF緩存大小WAF關(guān)鍵技術(shù)
WAF的透明代理技術(shù)原理:
透明代理技術(shù)基于TCP連接,網(wǎng)絡(luò)協(xié)議棧應(yīng)用層的代理技術(shù),實(shí)現(xiàn)與客戶端以及服務(wù)器雙向獨(dú)立的TCP連接建立,隔絕客戶端和服務(wù)器的直接TCP連接建立。通訊過程如下:
WAF主要會(huì)更改如下數(shù)據(jù)包內(nèi)容項(xiàng):
客戶端TCP源端口 客戶端源MAC/服務(wù)器源MAC地址 長短連接協(xié)議版本 MIME類型Web應(yīng)用安全防護(hù)策略:
基于WEB攻擊特征庫的正則表達(dá)式的匹配方式;策略規(guī)則組織成規(guī)則鏈表的方式,深度檢查請(qǐng)求頭部、請(qǐng)求提交內(nèi)容,響應(yīng)頭部,響應(yīng)內(nèi)容體等內(nèi)容進(jìn)行逐條匹配檢查。
主要可以防止以下攻擊:
HTTP協(xié)議合規(guī)性 SQL注入阻斷 跨站點(diǎn)腳本/CSRF攻擊防護(hù) 表單/cookie篡改防護(hù) DoS攻擊防護(hù) 敏感信息泄漏 目錄遍歷 防掃描器探測(cè)攻擊Web應(yīng)用安全審計(jì):
WAF可以審計(jì)所有用戶訪問行為,通過對(duì)訪問記錄的深度分析,可以發(fā)掘出一些潛在的威脅情況,對(duì)于攻擊防護(hù)遺漏的請(qǐng)求,仍然可以起到追根索源的目的。
防CC:
CC攻擊的原理就是攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對(duì)方服務(wù)器造成服務(wù)器資源耗盡,一直到宕機(jī)崩潰。CC主要是用來消耗服務(wù)器資源的,每個(gè)人都有這樣的體驗(yàn):當(dāng)一個(gè)網(wǎng)頁訪問的人數(shù)特別多的時(shí)候,打開網(wǎng)頁就慢了,CC就是模擬多個(gè)用戶(多少線程就是多少用戶)不停地進(jìn)行訪問那些需要大量數(shù)據(jù)操作(就是需要大量CPU時(shí)間)的頁面,造成服務(wù)器資源的浪費(fèi),CPU長時(shí)間處于100%,永遠(yuǎn)都有處理不完的連接直至就網(wǎng)絡(luò)擁塞,正常的訪問被中止。
防止CC攻擊的原理:
可定義多條DOS策略 可支持多個(gè)URL匹配算法 可支持應(yīng)用層IP匹配算法Web應(yīng)交交付:
“應(yīng)用交付”,實(shí)際上就是指應(yīng)用交付網(wǎng)絡(luò)(Application Delivery Networking,簡稱ADN),它利用相應(yīng)的網(wǎng)絡(luò)優(yōu)化/加速設(shè)備,確保用戶的業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付給內(nèi)部員工和外部服務(wù)群。
從定義中可以看出應(yīng)用交付的宗旨是保證企業(yè)關(guān)鍵業(yè)務(wù)的可靠性、可用性與安全性。應(yīng)用交付應(yīng)是多種技術(shù)的殊途同歸,比如廣域網(wǎng)加速、負(fù)載均衡、Web應(yīng)用防火墻…針對(duì)不同的應(yīng)用需求有不同的產(chǎn)品依托和側(cè)重。
WAF一般可做的應(yīng)用交付主要是通過:
web加速與數(shù)據(jù)壓縮 優(yōu)化服務(wù)器性能。WAF的多種部署模式
WAF一般支持透明代理,反向代理,旁路監(jiān)控,橋模式部署模式。
透明代理串接模式:
透明代理部署模式支持透明串接部署方式。串接在用戶網(wǎng)絡(luò)中,可實(shí)現(xiàn)即插即用,無需用戶更改網(wǎng)絡(luò)設(shè)備與服務(wù)器配置。部署簡單易用,應(yīng)用于大部分用戶網(wǎng)絡(luò)中。
部署特點(diǎn):
不需要改變用戶網(wǎng)絡(luò)結(jié)構(gòu),對(duì)于用戶而言是透明的 安全防護(hù)性能強(qiáng) 故障恢復(fù)快,可支持Bypass透明代理串接模式是采用最多的部署模式,防御效果好。
反向代理模式:
反向代理又分為兩種模式,反向代理(代理模式)與反向代理(牽引模式)。
代理模式:
WAF采用反向代理模式以旁路的方式接入到網(wǎng)絡(luò)環(huán)境中,需要更改網(wǎng)絡(luò)防火墻的目的映射表,網(wǎng)絡(luò)防火墻映射WAF的業(yè)務(wù)口地址,將服務(wù)器的IP地址進(jìn)行隱藏。
即在圖中,當(dāng)外網(wǎng)去訪問www.test.com時(shí),會(huì)解析到110.1.1.1。在網(wǎng)絡(luò)防火墻FW上,會(huì)通過nat-server技術(shù),將110.1.1.1外網(wǎng)地址解析為192.168.1.1的內(nèi)網(wǎng)地址。而192.168.1.1為WAF的業(yè)務(wù)口地址,WAF會(huì)去訪問后端服務(wù)器192.168.1.100,將包返回給WAF,WAF再返回給用戶,起到了代理作用,隱藏了真正的Web服務(wù)器地址。
部署特點(diǎn):
可旁路部署,對(duì)于用戶網(wǎng)絡(luò)不透明,防護(hù)能力強(qiáng) 故障恢復(fù)時(shí)間慢,不支持Bypass,恢復(fù)時(shí)需要重新將域名或地址映射到原服務(wù)器。 此模式應(yīng)用于復(fù)雜環(huán)境中,如設(shè)備無法直接串接的環(huán)境。 訪問時(shí)需要先訪問WAF配置的業(yè)務(wù)口地址。 支持VRRP主備牽引模式:
WAF采用反向代理模式以旁路的方式接入到網(wǎng)絡(luò)環(huán)境中,需要在核心交換機(jī)上做策略路由PBR,將客戶端訪問服務(wù)器的流量牽引到WAF上,策略路由的下一跳地址為WAF的業(yè)務(wù)口地址。
部署特點(diǎn):
可旁路部署,對(duì)于用戶網(wǎng)絡(luò)不透明。 故障恢復(fù)時(shí)間慢,不支持Bypass,恢復(fù)時(shí)需要?jiǎng)h除路由器策略路由配置。 此模式應(yīng)用于復(fù)雜環(huán)境中,如設(shè)備無法直接串接的環(huán)境。 訪問時(shí)仍訪問網(wǎng)站服務(wù)器旁路監(jiān)控模式:
采用旁路監(jiān)聽模式,在交換機(jī)做服務(wù)器端口鏡像,將流量復(fù)制一份到WAF上,部署時(shí)不影響在線業(yè)務(wù)。在旁路模式下WAF只會(huì)進(jìn)行告警而不阻斷。
透明橋模式:
透明橋模式是真正意義上的純透明,不會(huì)改變更改數(shù)據(jù)包任何內(nèi)容,比如源端口、TCP序列號(hào),橋模式不跟蹤TCP會(huì)話,可支持路由不對(duì)稱環(huán)境。
WAF可靠性部署-透明代理下的HA主備模式:
雙機(jī)HA模式下,WAF工作于Active,Standby的模式,即其中一臺(tái)WAF處于檢測(cè)防護(hù)模式時(shí),另一臺(tái)為備用,不進(jìn)行工作。當(dāng)主WAF出現(xiàn)故障,或者與主WAF連接的上下行鏈路出現(xiàn)故障時(shí),備用的WAF將協(xié)商進(jìn)入檢測(cè)防護(hù)模式。
流量的切換:根據(jù)流量來進(jìn)行判斷,從哪邊來的流量走哪邊。 當(dāng)兩邊同時(shí)有流量的時(shí)候,需要使用主主模式,不需要心跳線。WAF可靠性部署-反向代理下的HA主備模式:
WAF在反向代理下通過VRRP協(xié)議來協(xié)商主備關(guān)系,正常情況下只有主機(jī)工作,備機(jī)不工作,當(dāng)WAF主機(jī)出現(xiàn)問題時(shí),備機(jī)自動(dòng)切換為主機(jī)進(jìn)行工作。
標(biāo)題名稱:Web應(yīng)用防火墻是做什么的?與傳統(tǒng)網(wǎng)絡(luò)設(shè)備的區(qū)別
文章出自:http://muchs.cn/news49/202649.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)網(wǎng)站建設(shè)、ChatGPT、商城網(wǎng)站、服務(wù)器托管、網(wǎng)站導(dǎo)航、網(wǎng)站策劃
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容