中文字幕乱码视频32,日日天天,久久久久国产一区二区三区四区

WAF是什么?

WAF的全稱是(Web Application Firewall)即Web應(yīng)用防火墻，簡(jiǎn)稱WAF。

國(guó)際上公認(rèn)的一種說法是：Web應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。

WAF常見的部署方式：

Web應(yīng)用防火墻是做什么的？與傳統(tǒng)網(wǎng)絡(luò)設(shè)備的區(qū)別

WAF常見部署方式：WAF一般部署在Web服務(wù)器之前，用來保護(hù)Web應(yīng)用。

那么WAF能做什么?

WAF可以過濾HTTP/HTTPS協(xié)議流量，防護(hù)Web攻擊。
WAF可以對(duì)Web應(yīng)用進(jìn)行安全審計(jì)
WAF可以防止CC攻擊
應(yīng)用交付
CC攻擊：通過大量請(qǐng)求對(duì)應(yīng)用程序資源消耗最大的應(yīng)用，如WEB查詢數(shù)據(jù)庫(kù)應(yīng)用，從而導(dǎo)致服務(wù)器拒絕服務(wù) ，更詳細(xì)CC攻擊介紹：
應(yīng)用交付：實(shí)際上就是指應(yīng)用交付網(wǎng)絡(luò)(Application Delivery Networking，簡(jiǎn)稱ADN)，它利用相應(yīng)的網(wǎng)絡(luò)優(yōu)化/加速設(shè)備，確保用戶的業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付給內(nèi)部員工和外部服務(wù)群。

從定義中可以看出應(yīng)用交付的宗旨是保證企業(yè)關(guān)鍵業(yè)務(wù)的可靠性、可用性與安全性。應(yīng)用交付應(yīng)是多種技術(shù)的殊途同歸，比如廣域網(wǎng)加速、負(fù)載均衡、Web應(yīng)用防火墻…針對(duì)不同的應(yīng)用需求有不同的產(chǎn)品依托和側(cè)重。

WAF不能做什么?

WAF不能過濾其他協(xié)議流量，如FTP、PoP3協(xié)議
WAF不能實(shí)現(xiàn)傳統(tǒng)防護(hù)墻功能，如地址映射
WAF不能防止網(wǎng)絡(luò)層的DDoS攻擊
防病毒

WAF與傳統(tǒng)安全設(shè)備的區(qū)別：

傳統(tǒng)安全設(shè)備特點(diǎn)：

IPS：針對(duì)蠕蟲、網(wǎng)絡(luò)病毒、后門木馬防護(hù),不具備WEB應(yīng)用層的安全防護(hù)能力
傳統(tǒng)FW：作為內(nèi)網(wǎng)與外網(wǎng)之間的一種訪問控制設(shè)備，提供3-4層的安全防護(hù)能力,不具備WEB應(yīng)用層的安全防護(hù)能力

WAF特點(diǎn)：

WAF是專業(yè)的應(yīng)用層安全防護(hù)產(chǎn)品。

具備威脅感知能力
具備HTTP/HTTPS深度檢測(cè)能力. 檢出率高，誤報(bào)率低/漏報(bào)率低
高性能
復(fù)雜環(huán)境下高穩(wěn)定性

WAF的主要功能：

WAF主要是通過內(nèi)置的很多安全規(guī)則來進(jìn)行防御。
可防護(hù)常見的SQL注入、XSS、網(wǎng)頁(yè)篡改、中間件漏洞等OWASP TOP10攻擊性。
當(dāng)發(fā)現(xiàn)攻擊后，可將IP進(jìn)行鎖定，IP鎖定之后將無法訪問網(wǎng)站業(yè)務(wù)。
也支持防止CC攻擊，采用集中度和速率雙重檢測(cè)算法。

WAF的主要廠家：

國(guó)內(nèi):安恒,綠盟,啟明星辰
國(guó)外:飛塔,梭子魚,Imperva

WAF的發(fā)展歷程

WAF的發(fā)展主要經(jīng)歷了IPS架構(gòu)，反向代理，透明代理和流模式。

IPS架構(gòu)的特點(diǎn)：

優(yōu)勢(shì)：

建立在原IPS架構(gòu)之上，部署簡(jiǎn)單
不改變數(shù)據(jù)包內(nèi)容
性能較好

劣勢(shì)：

誤報(bào)及漏報(bào)率較高
難以解決HTTP慢攻擊及分片攻擊
難以實(shí)現(xiàn)復(fù)雜應(yīng)用，如應(yīng)用交付

反向代理特點(diǎn)：

優(yōu)勢(shì)：

單臂部署，不需要串接在網(wǎng)絡(luò)中
實(shí)現(xiàn)應(yīng)用交付
安全防護(hù)能力好

劣勢(shì)：

會(huì)改變數(shù)據(jù)包內(nèi)容
性能較差
需要改變網(wǎng)絡(luò)配置，故障恢復(fù)慢。

透明代理特點(diǎn)：

優(yōu)勢(shì)：

半透明部署，不需要改變網(wǎng)絡(luò)配置
實(shí)現(xiàn)應(yīng)用交付
安全防護(hù)能力好
故障恢復(fù)快

劣勢(shì)：

較少更改數(shù)據(jù)包內(nèi)容
性能一般

流模式特點(diǎn)：

優(yōu)勢(shì)：

全透明部署，不改變網(wǎng)絡(luò)配置/數(shù)據(jù)包內(nèi)容
實(shí)現(xiàn)應(yīng)用交付
安全防護(hù)能力好
故障恢復(fù)快
性能好

劣勢(shì)：

對(duì)特殊構(gòu)造攻擊取決于WAF緩存大小

WAF關(guān)鍵技術(shù)

WAF的透明代理技術(shù)原理：

圖：WAF透明代理技術(shù)原理

透明代理技術(shù)基于TCP連接，網(wǎng)絡(luò)協(xié)議棧應(yīng)用層的代理技術(shù)，實(shí)現(xiàn)與客戶端以及服務(wù)器雙向獨(dú)立的TCP連接建立，隔絕客戶端和服務(wù)器的直接TCP連接建立。通訊過程如下：

圖：WAF通信過程

WAF主要會(huì)更改如下數(shù)據(jù)包內(nèi)容項(xiàng)：

客戶端TCP源端口
客戶端源MAC/服務(wù)器源MAC地址
長(zhǎng)短連接協(xié)議版本
MIME類型

Web應(yīng)用安全防護(hù)策略：

基于WEB攻擊特征庫(kù)的正則表達(dá)式的匹配方式;策略規(guī)則組織成規(guī)則鏈表的方式，深度檢查請(qǐng)求頭部、請(qǐng)求提交內(nèi)容，響應(yīng)頭部，響應(yīng)內(nèi)容體等內(nèi)容進(jìn)行逐條匹配檢查。

主要可以防止以下攻擊：

HTTP協(xié)議合規(guī)性
SQL注入阻斷
跨站點(diǎn)腳本/CSRF攻擊防護(hù)
表單/cookie篡改防護(hù)
DoS攻擊防護(hù)
敏感信息泄漏
目錄遍歷
防掃描器探測(cè)攻擊

Web應(yīng)用安全審計(jì)：

WAF可以審計(jì)所有用戶訪問行為，通過對(duì)訪問記錄的深度分析，可以發(fā)掘出一些潛在的威脅情況，對(duì)于攻擊防護(hù)遺漏的請(qǐng)求，仍然可以起到追根索源的目的。

防CC：

CC攻擊的原理就是攻擊者控制某些主機(jī)不停地發(fā)大量數(shù)據(jù)包給對(duì)方服務(wù)器造成服務(wù)器資源耗盡，一直到宕機(jī)崩潰。CC主要是用來消耗服務(wù)器資源的，每個(gè)人都有這樣的體驗(yàn)：當(dāng)一個(gè)網(wǎng)頁(yè)訪問的人數(shù)特別多的時(shí)候，打開網(wǎng)頁(yè)就慢了，CC就是模擬多個(gè)用戶(多少線程就是多少用戶)不停地進(jìn)行訪問那些需要大量數(shù)據(jù)操作(就是需要大量CPU時(shí)間)的頁(yè)面，造成服務(wù)器資源的浪費(fèi)，CPU長(zhǎng)時(shí)間處于100%，永遠(yuǎn)都有處理不完的連接直至就網(wǎng)絡(luò)擁塞，正常的訪問被中止。

防止CC攻擊的原理：

可定義多條DOS策略
可支持多個(gè)URL匹配算法
可支持應(yīng)用層IP匹配算法

Web應(yīng)交交付：

“應(yīng)用交付”，實(shí)際上就是指應(yīng)用交付網(wǎng)絡(luò)(Application Delivery Networking，簡(jiǎn)稱ADN)，它利用相應(yīng)的網(wǎng)絡(luò)優(yōu)化/加速設(shè)備，確保用戶的業(yè)務(wù)應(yīng)用能夠快速、安全、可靠地交付給內(nèi)部員工和外部服務(wù)群。

WAF一般可做的應(yīng)用交付主要是通過：

web加速與數(shù)據(jù)壓縮優(yōu)化服務(wù)器性能。

WAF的多種部署模式

WAF一般支持透明代理，反向代理，旁路監(jiān)控，橋模式部署模式。

透明代理串接模式：

圖：WAF部署場(chǎng)景-透明代理串接模式

透明代理部署模式支持透明串接部署方式。串接在用戶網(wǎng)絡(luò)中，可實(shí)現(xiàn)即插即用，無需用戶更改網(wǎng)絡(luò)設(shè)備與服務(wù)器配置。部署簡(jiǎn)單易用，應(yīng)用于大部分用戶網(wǎng)絡(luò)中。

部署特點(diǎn)：

不需要改變用戶網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)于用戶而言是透明的
安全防護(hù)性能強(qiáng)
故障恢復(fù)快，可支持Bypass

透明代理串接模式是采用最多的部署模式，防御效果好。

反向代理模式：

反向代理又分為兩種模式，反向代理(代理模式)與反向代理(牽引模式)。

代理模式：

圖：WAF部署場(chǎng)景-反向代理(代理模式)

WAF采用反向代理模式以旁路的方式接入到網(wǎng)絡(luò)環(huán)境中，需要更改網(wǎng)絡(luò)防火墻的目的映射表，網(wǎng)絡(luò)防火墻映射WAF的業(yè)務(wù)口地址，將服務(wù)器的IP地址進(jìn)行隱藏。

即在圖中，當(dāng)外網(wǎng)去訪問www.test.com時(shí)，會(huì)解析到110.1.1.1。在網(wǎng)絡(luò)防火墻FW上，會(huì)通過nat-server技術(shù)，將110.1.1.1外網(wǎng)地址解析為192.168.1.1的內(nèi)網(wǎng)地址。而192.168.1.1為WAF的業(yè)務(wù)口地址，WAF會(huì)去訪問后端服務(wù)器192.168.1.100，將包返回給WAF，WAF再返回給用戶，起到了代理作用，隱藏了真正的Web服務(wù)器地址。

部署特點(diǎn)：

可旁路部署，對(duì)于用戶網(wǎng)絡(luò)不透明，防護(hù)能力強(qiáng)
故障恢復(fù)時(shí)間慢，不支持Bypass，恢復(fù)時(shí)需要重新將域名或地址映射到原服務(wù)器。
此模式應(yīng)用于復(fù)雜環(huán)境中，如設(shè)備無法直接串接的環(huán)境。
訪問時(shí)需要先訪問WAF配置的業(yè)務(wù)口地址。
支持VRRP主備

牽引模式：

圖：WAF部署場(chǎng)景-反向代理(牽引模式)

WAF采用反向代理模式以旁路的方式接入到網(wǎng)絡(luò)環(huán)境中，需要在核心交換機(jī)上做策略路由PBR，將客戶端訪問服務(wù)器的流量牽引到WAF上，策略路由的下一跳地址為WAF的業(yè)務(wù)口地址。

部署特點(diǎn):

可旁路部署，對(duì)于用戶網(wǎng)絡(luò)不透明。
故障恢復(fù)時(shí)間慢，不支持Bypass，恢復(fù)時(shí)需要?jiǎng)h除路由器策略路由配置。
此模式應(yīng)用于復(fù)雜環(huán)境中，如設(shè)備無法直接串接的環(huán)境。
訪問時(shí)仍訪問網(wǎng)站服務(wù)器

旁路監(jiān)控模式：

圖：WAF部署場(chǎng)景-旁路監(jiān)控模式

采用旁路監(jiān)聽模式，在交換機(jī)做服務(wù)器端口鏡像，將流量復(fù)制一份到WAF上，部署時(shí)不影響在線業(yè)務(wù)。在旁路模式下WAF只會(huì)進(jìn)行告警而不阻斷。

透明橋模式：

圖：WAF部署場(chǎng)景-透明橋模式

透明橋模式是真正意義上的純透明，不會(huì)改變更改數(shù)據(jù)包任何內(nèi)容，比如源端口、TCP序列號(hào)，橋模式不跟蹤TCP會(huì)話，可支持路由不對(duì)稱環(huán)境。

WAF可靠性部署-透明代理下的HA主備模式：

圖：WAF部署場(chǎng)景-透明代理下的HA主備模式

雙機(jī)HA模式下，WAF工作于Active，Standby的模式，即其中一臺(tái)WAF處于檢測(cè)防護(hù)模式時(shí)，另一臺(tái)為備用，不進(jìn)行工作。當(dāng)主WAF出現(xiàn)故障，或者與主WAF連接的上下行鏈路出現(xiàn)故障時(shí)，備用的WAF將協(xié)商進(jìn)入檢測(cè)防護(hù)模式。