WAF防火墻簡介- IT安全運維

2020-05-04 19:49 作者：艾銻無限 瀏覽量：

 
對于網(wǎng)絡(luò)運維和IT安全運維人員來說，提到防火墻大家首先想到的是網(wǎng)絡(luò)防火墻。今天跟大家介紹下WAF防火墻。Web應(yīng)用防護系統(tǒng)（也稱：網(wǎng)站應(yīng)用級入侵防御系統(tǒng) 。英文：Web Application Firewall，簡稱： WAF）。利用國際上公認的一種說法：Web應(yīng)用防火墻是通過執(zhí)行一系列針對http/https的 安全策略 來專門為Web應(yīng)用提供保護的一款產(chǎn)品。


WAF的功能

支持IP白名單和黑名單功能，直接將黑名單的IP訪問拒絕。

支持URL白名單，將不需要過濾的URL進行定義。

支持User-Agent的過濾，匹配自定義規(guī)則中的條目，然后進行處理（返回403）。

支持CC攻擊防護，單個URL指定時間的訪問次數(shù)，超過設(shè)定值，直接返回403。

支持Cookie過濾，匹配自定義規(guī)則中的條目，然后進行處理（返回403）。

支持URL過濾，匹配自定義規(guī)則中的條目，如果用戶請求的URL包含這些，返回403。

支持URL參數(shù)過濾，原理同上。

支持日志記錄，將所有拒絕的操作，記錄到日志中去
 
WAF的特點

①異常檢測協(xié)議  

Web應(yīng)用防火墻會對HTTP的請求進行異常檢測，拒絕不符合HTTP標(biāo)準(zhǔn)的請求。并且，它也可以只允許HTTP協(xié)議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項。
 
②增強的輸入驗證  

增強輸入驗證，可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為。從而減小Web服務(wù)器被攻擊的可能性。

③及時補丁  

修補Web安全漏洞，是Web應(yīng)用開發(fā)者最頭痛的問題，沒人會知道下一秒有什么樣的漏洞出現(xiàn)，會為Web應(yīng)用帶來什么樣的危害。WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內(nèi)屏蔽掉
這個漏洞。當(dāng)然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對應(yīng)的補丁本身就是一種安全威脅，但我們在沒有選擇的情況下，任何保護措施都比沒有保護措施更好。

④基于規(guī)則的保護和基于異常的保護  

基于規(guī)則的保護可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會維護這個規(guī)則庫，并時時為其更新。用戶可以按照這些規(guī)則對應(yīng)用進行全方面檢測。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的
異常。但這需要對用戶企業(yè)的應(yīng)用具有十分透徹的了解才可能做到，可現(xiàn)實中這是十分困難的一件事情。

⑤狀態(tài)管理  

⑥WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件（比如登陸失敗），并且在達到極限值時進行處理。這對暴力攻擊的識別和響應(yīng)是十分有利的。

⑦其他防護技術(shù)  
WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如：隱藏表單域保護、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護。
 
WAF與網(wǎng)絡(luò)防火墻的區(qū)別

網(wǎng)絡(luò)防火墻作為訪問控制設(shè)備，主要工作在OSI模型三、四層，基于IP報文進行檢測。只是對端口做限制，對TCP協(xié)議做封堵。其產(chǎn)品設(shè)計無需理解HTTP會話，也就決定了無法理解Web應(yīng)用程序語言如HTML、SQL語言。因此，它不可能對HTTP通訊進行輸入驗證或攻擊規(guī)則分析。針對Web網(wǎng)站的惡意攻擊絕大部分都將封裝為HTTP請求，從80或443端口順利通過防火墻檢測。  

　　一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應(yīng)用層防御能力，如能根據(jù)TCP會話異常性及攻擊特征阻止網(wǎng)絡(luò)層的攻擊，通過IP分拆和組合也能判斷是否有攻擊隱藏在多個數(shù)據(jù)包中，但從根本上說他仍然無法理解HTTP會話，難以應(yīng)對如SQL注入、跨站腳本、cookie竊取、網(wǎng)頁篡改等應(yīng)用層攻擊。  


　　web應(yīng)用防火墻能在應(yīng)用層理解分析HTTP會話，因此能有效的防止各類應(yīng)用層攻擊，同時他向下兼容，具備網(wǎng)絡(luò)防火墻的功能。
 
艾銻無限科技專業(yè)：IT外包、企業(yè)外包、北京IT外包、桌面運維、弱電工程、網(wǎng)站開發(fā)、wifi覆蓋方案,網(wǎng)絡(luò)外包,網(wǎng)絡(luò)管理服務(wù),網(wǎng)管外包,綜合布線,服務(wù)器運維服務(wù),中小企業(yè)it外包服務(wù),服務(wù)器維保公司,硬件運維,網(wǎng)站運維服務(wù)
 
以上文章由北京艾銻無限科技發(fā)展有限公司整理