WAF防火墻簡(jiǎn)介- IT安全運(yùn)維

2020-05-04 19:49 作者：艾銻無限 瀏覽量：

 
對(duì)于網(wǎng)絡(luò)運(yùn)維和IT安全運(yùn)維人員來說，提到防火墻大家首先想到的是網(wǎng)絡(luò)防火墻。今天跟大家介紹下WAF防火墻。Web應(yīng)用防護(hù)系統(tǒng)（也稱：網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng) 。英文：Web Application Firewall，簡(jiǎn)稱： WAF）。利用國(guó)際上公認(rèn)的一種說法：Web應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)http/https的 安全策略 來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。


WAF的功能

支持IP白名單和黑名單功能，直接將黑名單的IP訪問拒絕。

支持URL白名單，將不需要過濾的URL進(jìn)行定義。

支持User-Agent的過濾，匹配自定義規(guī)則中的條目，然后進(jìn)行處理（返回403）。

支持CC攻擊防護(hù)，單個(gè)URL指定時(shí)間的訪問次數(shù)，超過設(shè)定值，直接返回403。

支持Cookie過濾，匹配自定義規(guī)則中的條目，然后進(jìn)行處理（返回403）。

支持URL過濾，匹配自定義規(guī)則中的條目，如果用戶請(qǐng)求的URL包含這些，返回403。

支持URL參數(shù)過濾，原理同上。

支持日志記錄，將所有拒絕的操作，記錄到日志中去
 
WAF的特點(diǎn)

①異常檢測(cè)協(xié)議  

Web應(yīng)用防火墻會(huì)對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè)，拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)求。并且，它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項(xiàng)。
 
②增強(qiáng)的輸入驗(yàn)證  

增強(qiáng)輸入驗(yàn)證，可以有效防止網(wǎng)頁(yè)篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。

③及時(shí)補(bǔ)丁  

修補(bǔ)Web安全漏洞，是Web應(yīng)用開發(fā)者最頭痛的問題，沒人會(huì)知道下一秒有什么樣的漏洞出現(xiàn)，會(huì)為Web應(yīng)用帶來什么樣的危害。WAF可以為我們做這項(xiàng)工作了——只要有全面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉
這個(gè)漏洞。當(dāng)然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對(duì)應(yīng)的補(bǔ)丁本身就是一種安全威脅，但我們?cè)跊]有選擇的情況下，任何保護(hù)措施都比沒有保護(hù)措施更好。

④基于規(guī)則的保護(hù)和基于異常的保護(hù)  

基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會(huì)維護(hù)這個(gè)規(guī)則庫(kù)，并時(shí)時(shí)為其更新。用戶可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè)。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的
異常。但這需要對(duì)用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到，可現(xiàn)實(shí)中這是十分困難的一件事情。

⑤狀態(tài)管理  

⑥WAF能夠判斷用戶是否是第一次訪問并且將請(qǐng)求重定向到默認(rèn)登錄頁(yè)面并且記錄事件。通過檢測(cè)用戶的整個(gè)操作行為我們可以更容易識(shí)別攻擊。狀態(tài)管理模式還能檢測(cè)出異常事件（比如登陸失敗），并且在達(dá)到極限值時(shí)進(jìn)行處理。這對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的。

⑦其他防護(hù)技術(shù)  
WAF還有一些安全增強(qiáng)的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如：隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù)。
 
WAF與網(wǎng)絡(luò)防火墻的區(qū)別

網(wǎng)絡(luò)防火墻作為訪問控制設(shè)備，主要工作在OSI模型三、四層，基于IP報(bào)文進(jìn)行檢測(cè)。只是對(duì)端口做限制，對(duì)TCP協(xié)議做封堵。其產(chǎn)品設(shè)計(jì)無需理解HTTP會(huì)話，也就決定了無法理解Web應(yīng)用程序語(yǔ)言如HTML、SQL語(yǔ)言。因此，它不可能對(duì)HTTP通訊進(jìn)行輸入驗(yàn)證或攻擊規(guī)則分析。針對(duì)Web網(wǎng)站的惡意攻擊絕大部分都將封裝為HTTP請(qǐng)求，從80或443端口順利通過防火墻檢測(cè)。  

　　一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應(yīng)用層防御能力，如能根據(jù)TCP會(huì)話異常性及攻擊特征阻止網(wǎng)絡(luò)層的攻擊，通過IP分拆和組合也能判斷是否有攻擊隱藏在多個(gè)數(shù)據(jù)包中，但從根本上說他仍然無法理解HTTP會(huì)話，難以應(yīng)對(duì)如SQL注入、跨站腳本、cookie竊取、網(wǎng)頁(yè)篡改等應(yīng)用層攻擊。  


　　web應(yīng)用防火墻能在應(yīng)用層理解分析HTTP會(huì)話，因此能有效的防止各類應(yīng)用層攻擊，同時(shí)他向下兼容，具備網(wǎng)絡(luò)防火墻的功能。
 
艾銻無限科技專業(yè)：IT外包、企業(yè)外包、北京IT外包、桌面運(yùn)維、弱電工程、網(wǎng)站開發(fā)、wifi覆蓋方案,網(wǎng)絡(luò)外包,網(wǎng)絡(luò)管理服務(wù),網(wǎng)管外包,綜合布線,服務(wù)器運(yùn)維服務(wù),中小企業(yè)it外包服務(wù),服務(wù)器維保公司,硬件運(yùn)維,網(wǎng)站運(yùn)維服務(wù)
 
以上文章由北京艾銻無限科技發(fā)展有限公司整理