WAF相关知识

神经蛙4762
604 阅读7分钟

什么是WAF?

Web 应用程序防火墙(web application firewall) 是一种安全工具,用于监视、过滤和阻止来自 Web 应用程序或网站所传入和传出的数据包,可保护 Web 应用程序免受各种应用程序层攻击,例如跨站点脚本 (XSS)、SQL 注入和cookie 中毒等。 Web 应用程序防火墙是负责保护业务关键型 Web 应用程序免受 OWASP 前 10 名、零日威胁、已知或未知应用程序漏洞以及一系列其他 Web 应用程序层攻击的工具之一.

WAF有多种形态,可以以软件、设备或作为服务交付的形式出现,通常通过反向代理部署,放置在应用程序或网站(或多个应用程序和站点)的前面,通过检查每个数据包并根据规则分析应用层(7 层)逻辑,以过滤掉可疑或危险的流量。

2022-02-18-20220218164622

为什么 WAF 安全很重要?

随着提供在线产品和服务的机构组织越来越多,WAF也变得更加重要,WAF 可以帮助保护敏感信息数据,例如客户记录和支付卡数据,防止泄漏。

大量的敏感数据被服务提供方存储在可被网络应用访问的后端数据库中,通过使用移动应用程序和物联网设备来促进业务交互成为了现代公司的普遍模式,这类信息交换多数在应用层进行,攻击者也常以应用程序为目标来获取这些敏感数据。

使用 WAF 可以帮助企业满足合规性要求,例如 PCI DSS(支付卡行业数据安全标准),该标准适用于任何处理持卡人数据并需要安装防火墙的组织。因此,WAF 是企业组织安全模型的重要组成部分。

拥有WAF固然重要,但建议将其与入侵检测系统(IDS)、入侵防御系统(IPS)、传统防火墙等其他安全措施相结合,实现纵深防御的安全模型.

2022-02-18-20220218170248

Web 应用防火墙 (WAF)、入侵防御系统 (IPS) 和下一代防火墙 (NGFW) 之间的区别

IPS 是一种更广泛关注的安全产品。它通常是基于签名和策略的,这意味着它可以根据签名数据库和既定策略检查众所周知的漏洞和攻击向量。IPS 基于数据库和策略建立标准,然后在任何流量与标准不一致时发送警报。随着新漏洞的出现,签名和策略会随着时间的推移而增长。一般来说,IPS 可以保护各种协议类型的流量,例如 DNS、SMTP、TELNET、RDP、SSH 和 FTP。IPS 通常运行并保护第 3 层和第 4 层。网络和会话层虽然有些可能在应用层(第 7 层)提供有限的保护。

Web 应用防火墙 (WAF) 保护应用层,专门用于分析应用层的每个 HTTP/S 请求。通常是用户、会话和应用程序感知的,了解其背后的 Web 应用程序及其提供的服务。因此,可以将 WAF 视为用户和应用程序本身之间的中介,在所有通信到达应用程序或用户之前对其进行分析。传统的 WAF 确保只能执行允许的操作(基于安全策略)。对于许多组织而言,WAF 是应用程序值得信赖的第一道防线,尤其是用于防御 OWASP Top 10(最常见的应用程序漏洞的基本列表)。

下一代防火墙 (NGFW) 监控通过网站、电子邮件帐户和 SaaS 进入 Internet 的流量。简单地说,它是在保护用户(相对于 Web 应用程序)。 NGFW 将强制执行基于用户的策略,并为安全策略添加上下文,此外还会添加 URL 过滤、防病毒/反恶意软件等功能,可能还有其自己的入侵防御系统 (IPS)。虽然 WAF 通常是反向代理(由服务器使用),但 NGFW 通常是正向代理(由浏览器等客户端使用)。

WAF的类型

WAF主要有三种类型:

  • 硬 WAF——以硬件形态和网络设备串联起来,配置简单,延迟低,吞吐量较高,防护范围广。但是,该类WAF价格昂贵,存在误杀可能性,需要专用存储,并维护物理设备。
  • 软 WAF——完全集成到应用程序的软件中。此选项比基于网络的 WAF 更便宜,并且更可定制,但它消耗大量本地服务器资源,实施复杂,维护成本高。用于运行软 WAF 的机器通常需要定制强化,这方面可能会花费更多的时间和经济成本。
  • 云 WAF——经济实惠、易于实施的解决方案,通常不需要前期投资,用户只需支付每月或每年的安全即服务订阅费用,云 WAF 可以定期免费更新。但是,由于依赖第三方来管理 WAF,因此确保基于云的 WAF 具有足够的自定义选项以匹配企业的业务规则非常重要。

如何选择适合你的WAF.pdf

WAF 特性和功能

WAF通常提供以下特性和功能:

  • 攻击特征库:攻击特征指恶意流量的模式,包括请求类型、异常服务器响应和已知恶意 IP 地址。 WAF 过去主要依赖于攻击模式数据库,这些数据库数据对新的或未知的攻击防护效果较差。
  • AI流量模式分析:AI算法能够对流量模式进行行为分析,使用各种类型流量的行为基线来检测表示攻击的异常情况。这使得可以检测到与已知恶意模式不匹配的攻击。
  • 应用程序分析:分析应用程序的结构,包括典型的请求、URL、值和允许的数据类型。使得 WAF 可以识别和阻止潜在的恶意请求。
  • 定制化:运营商可以定义应用于应用流量的安全规则。这样使用对象可根据自己的需要自定义 WAF 行为,防止合法流量被阻塞。
  • DDoS防护平台:可以集成一个基于云的平台,以防止分布式拒绝服务 (DDoS) 攻击。如果 WAF 检测到 DDoS 攻击,它可以将流量转移到 DDoS 防护平台,由平台可以处理攻击流量,只转发合法流量。
  • CDN:WAF 部署在网络边缘,因此云托管的 WAF 可以提供 CDN 来缓存网站并提高加载时间。

WAF技术

可以内置到服务器端软件插件或硬件设备中,也可以作为过滤流量的服务提供。保护 Web 应用程序免受恶意或受损端点的侵害,并充当反向代理。

通过拦截和检查每个 HTTP 请求来确保安全性。WAF 可以使用多种技术测试非法流量,例如设备指纹识别、输入设备分析和验证码挑战,如果它们看起来不合法,则可以阻止它们。

预先加载已知攻击模式的安全规则,以检测和阻止许多由开放 Web 应用程序安全项目 (OWASP) 维护的顶级 Web 应用程序安全漏洞。

自定义规则和安全策略以匹配其企业业务逻辑。

WAF 安全模型

WAF 可以使用主动或被动的安全模型,或是两者的组合:

  • 主动安全模型——根据允许的元素和操作列表过滤流量的白名单,任何不在列表中的内容都会被阻止。这种模型的优势在于它可以避免没有预料到的新的或未知的攻击。
  • 被动安全模型——通过黑名单阻止特定的攻击来源对象。该模型更易于实施,但不能保证所有威胁都得到解决。可能需要维护一个可能庞大的恶意签名列表。同时安全级别取决于限制的具体数量。
avatar
文章
阅读
粉丝