WAF是什么？WAF的全稱(chēng)是(Web Application Firewall)即Web應用防火墻，簡(jiǎn)稱(chēng)WAF。國際上公認的一種說(shuō)法是：Web應用防火墻是通過(guò)執行一系列針對HTTP/HTTPS的安全策略來(lái)專(zhuān)門(mén)為Web應用提供保護的一款產(chǎn)品。

WAF常見(jiàn)的部署方式：

 

WAF常見(jiàn)部署方式：WAF一般部署在Web服務(wù)器之前，用來(lái)保護Web應用。

 

那么WAF能做什么?

• WAF可以過(guò)濾HTTP/HTTPS協(xié)議流量，防護Web攻擊。
• WAF可以對Web應用進(jìn)行安全審計
• WAF可以防止CC攻擊
• 應用交付
• CC攻擊：通過(guò)大量請求對應用程序資源消耗最大的應用，如WEB查詢(xún)數據庫應用，從而導致服務(wù)器拒絕服務(wù) ，更詳細CC攻擊介紹：
• 應用交付：實(shí)際上就是指應用交付網(wǎng)絡(luò )(Application Delivery Networking，簡(jiǎn)稱(chēng)ADN)，它利用相應的網(wǎng)絡(luò )優(yōu)化/加速設備，確保用戶(hù)的業(yè)務(wù)應用能夠快速、安全、可靠地交付給內部員工和外部服務(wù)群。

從定義中可以看出應用交付的宗旨是保證企業(yè)關(guān)鍵業(yè)務(wù)的可靠性、可用性與安全性。應用交付應是多種技術(shù)的殊途同歸，比如廣域網(wǎng)加速、負載均衡、Web應用防火墻…針對不同的應用需求有不同的產(chǎn)品依托和側重。

WAF不能做什么?

• WAF不能過(guò)濾其他協(xié)議流量，如FTP、PoP3協(xié)議
• WAF不能實(shí)現傳統防護墻功能，如地址映射
• WAF不能防止網(wǎng)絡(luò )層的DDoS攻擊
• 防病毒

WAF與傳統安全設備的區別：

傳統安全設備特點(diǎn)：

• IPS：針對蠕蟲(chóng)、網(wǎng)絡(luò )病毒、后門(mén)木馬防護,不具備WEB應用層的安全防護能力
• 傳統FW：作為內網(wǎng)與外網(wǎng)之間的一種訪(fǎng)問(wèn)控制設備，提供3-4層的安全防護能力,不具備WEB應用層的安全防護能力

WAF特點(diǎn)：

WAF是專(zhuān)業(yè)的應用層安全防護產(chǎn)品。

• 具備威脅感知能力
• 具備HTTP/HTTPS深度檢測能力. 檢出率高，誤報率低/漏報率低
• 高性能
• 復雜環(huán)境下高穩定性

WAF的主要功能：

• WAF主要是通過(guò)內置的很多安全規則 來(lái)進(jìn)行防御。
• 可防護常見(jiàn)的SQL注入、XSS、網(wǎng)頁(yè)篡改、中間件漏洞等OWASP TOP10攻擊性。
• 當發(fā)現攻擊后，可將IP進(jìn)行鎖定，IP鎖定之后將無(wú)法訪(fǎng)問(wèn)網(wǎng)站業(yè)務(wù)。
• 也支持防止CC攻擊，采用集中度和速率雙重檢測算法。

WAF的主要廠(chǎng)家：

• 國內:安恒,綠盟,啟明星辰
• 國外:飛塔,梭子魚(yú),Imperva

WAF的發(fā)展歷程

WAF的發(fā)展主要經(jīng)歷了IPS架構，反向代理，透明代理和流模式。

 

 

IPS架構的特點(diǎn)：

優(yōu)勢：

• 建立在原IPS架構之上，部署簡(jiǎn)單
• 不改變數據包內容
• 性能較好

劣勢：

• 誤報及漏報率較高
• 難以解決HTTP慢攻擊及分片攻擊
• 難以實(shí)現復雜應用，如應用交付

反向代理特點(diǎn)：

優(yōu)勢：

• 單臂部署，不需要串接在網(wǎng)絡(luò )中
• 實(shí)現應用交付
• 安全防護能力好

劣勢：

• 會(huì )改變數據包內容
• 性能較差
• 需要改變網(wǎng)絡(luò )配置，故障恢復慢。

透明代理特點(diǎn)：

優(yōu)勢：

• 半透明部署，不需要改變網(wǎng)絡(luò )配置
• 實(shí)現應用交付
• 安全防護能力好
• 故障恢復快

劣勢：

• 較少更改數據包內容
• 性能一般

流模式特點(diǎn)：

優(yōu)勢：

• 全透明部署，不改變網(wǎng)絡(luò )配置/數據包內容
• 實(shí)現應用交付
• 安全防護能力好
• 故障恢復快
• 性能好

劣勢：

• 對特殊構造攻擊取決于WAF緩存大小

WAF關(guān)鍵技術(shù)

WAF的透明代理技術(shù)原理：

 

圖：WAF透明代理技術(shù)原理透明代理技術(shù)基于TCP連接，網(wǎng)絡(luò )協(xié)議棧應用層的代理技術(shù)，實(shí)現與客戶(hù)端以及服務(wù)器雙向獨立的TCP連接建立，隔絕客戶(hù)端和服務(wù)器的直接TCP連接建立。通訊過(guò)程如下：

 

 

圖：WAF通信過(guò)程WAF主要會(huì )更改如下數據包內容項：

 

• 客戶(hù)端TCP源端口
• 客戶(hù)端源MAC/服務(wù)器源MAC地址
• 長(cháng)短連接協(xié)議版本
• MIME類(lèi)型

Web應用安全防護策略：

基于WEB攻擊特征庫的正則表達式的匹配方式;策略規則組織成規則鏈表的方式，深度檢查請求頭部、請求提交內容，響應頭部，響應內容體等內容進(jìn)行逐條匹配檢查。

主要可以防止以下攻擊：

• HTTP協(xié)議合規性
• SQL注入阻斷
• 跨站點(diǎn)腳本/CSRF攻擊防護
• 表單/cookie篡改防護
• DoS攻擊防護
• 敏感信息泄漏
• 目錄遍歷
• 防掃描器探測攻擊

Web應用安全審計：

WAF可以審計所有用戶(hù)訪(fǎng)問(wèn)行為，通過(guò)對訪(fǎng)問(wèn)記錄的深度分析，可以發(fā)掘出一些潛在的威脅情況，對于攻擊防護遺漏的請求，仍然可以起到追根索源的目的。

防CC：

CC攻擊的原理就是攻擊者控制某些主機不停地發(fā)大量數據包給對方服務(wù)器造成服務(wù)器資源耗盡，一直到宕機崩潰。CC主要是用來(lái)消耗服務(wù)器資源的，每個(gè)人都有這樣的體驗：當一個(gè)網(wǎng)頁(yè)訪(fǎng)問(wèn)的人數特別多的時(shí)候，打開(kāi)網(wǎng)頁(yè)就慢了，CC就是模擬多個(gè)用戶(hù)(多少線(xiàn)程就是多少用戶(hù))不停地進(jìn)行訪(fǎng)問(wèn)那些需要大量數據操作(就是需要大量CPU時(shí)間)的頁(yè)面，造成服務(wù)器資源的浪費，CPU長(cháng)時(shí)間處于100%，永遠都有處理不完的連接直至就網(wǎng)絡(luò )擁塞，正常的訪(fǎng)問(wèn)被中止。

防止CC攻擊的原理：

• 可定義多條DOS策略
• 可支持多個(gè)URL匹配算法
• 可支持應用層IP匹配算法

Web應交交付：

“應用交付”，實(shí)際上就是指應用交付網(wǎng)絡(luò )(Application Delivery Networking，簡(jiǎn)稱(chēng)ADN)，它利用相應的網(wǎng)絡(luò )優(yōu)化/加速設備，確保用戶(hù)的業(yè)務(wù)應用能夠快速、安全、可靠地交付給內部員工和外部服務(wù)群。

從定義中可以看出應用交付的宗旨是保證企業(yè)關(guān)鍵業(yè)務(wù)的可靠性、可用性與安全性。應用交付應是多種技術(shù)的殊途同歸，比如廣域網(wǎng)加速、負載均衡、Web應用防火墻…針對不同的應用需求有不同的產(chǎn)品依托和側重。

WAF一般可做的應用交付主要是通過(guò)：

• web加速與數據壓縮 優(yōu)化服務(wù)器性能。

WAF的多種部署模式

WAF一般支持透明代理，反向代理，旁路監控，橋模式部署模式。

透明代理串接模式：

 

圖：WAF部署場(chǎng)景-透明代理串接模式透明代理部署模式支持透明串接部署方式。串接在用戶(hù)網(wǎng)絡(luò )中，可實(shí)現即插即用，無(wú)需用戶(hù)更改網(wǎng)絡(luò )設備與服務(wù)器配置。部署簡(jiǎn)單易用，應用于大部分用戶(hù)網(wǎng)絡(luò )中。

 

部署特點(diǎn)：

• 不需要改變用戶(hù)網(wǎng)絡(luò )結構，對于用戶(hù)而言是透明的
• 安全防護性能強
• 故障恢復快，可支持Bypass

透明代理串接模式是采用最多的部署模式，防御效果好。

反向代理模式：

反向代理又分為兩種模式，反向代理(代理模式)與反向代理(牽引模式)。

代理模式：

 

圖：WAF部署場(chǎng)景-反向代理(代理模式)WAF采用反向代理模式以旁路的方式接入到網(wǎng)絡(luò )環(huán)境中，需要更改網(wǎng)絡(luò )防火墻的目的映射表，網(wǎng)絡(luò )防火墻映射WAF的業(yè)務(wù)口地址，將服務(wù)器的IP地址進(jìn)行隱藏。

 

即在圖中，當外網(wǎng)去訪(fǎng)問(wèn)www.test.com時(shí)，會(huì )解析到110.1.1.1。在網(wǎng)絡(luò )防火墻FW上，會(huì )通過(guò)nat-server技術(shù)，將110.1.1.1外網(wǎng)地址解析為192.168.1.1的內網(wǎng)地址。而192.168.1.1為WAF的業(yè)務(wù)口地址，WAF會(huì )去訪(fǎng)問(wèn)后端服務(wù)器192.168.1.100，將包返回給WAF，WAF再返回給用戶(hù)，起到了代理作用，隱藏了真正的Web服務(wù)器地址。

部署特點(diǎn)：

• 可旁路部署，對于用戶(hù)網(wǎng)絡(luò )不透明，防護能力強
• 故障恢復時(shí)間慢，不支持Bypass，恢復時(shí)需要重新將域名或地址映射到原服務(wù)器。
• 此模式應用于復雜環(huán)境中，如設備無(wú)法直接串接的環(huán)境。
• 訪(fǎng)問(wèn)時(shí)需要先訪(fǎng)問(wèn)WAF配置的業(yè)務(wù)口地址。
• 支持VRRP主備

牽引模式：

 

圖：WAF部署場(chǎng)景-反向代理(牽引模式)WAF采用反向代理模式以旁路的方式接入到網(wǎng)絡(luò )環(huán)境中，需要在核心交換機上做策略路由PBR，將客戶(hù)端訪(fǎng)問(wèn)服務(wù)器的流量牽引到WAF上，策略路由的下一跳地址為WAF的業(yè)務(wù)口地址。

 

部署特點(diǎn):

• 可旁路部署，對于用戶(hù)網(wǎng)絡(luò )不透明。
• 故障恢復時(shí)間慢，不支持Bypass，恢復時(shí)需要刪除路由器策略路由配置。
• 此模式應用于復雜環(huán)境中，如設備無(wú)法直接串接的環(huán)境。
• 訪(fǎng)問(wèn)時(shí)仍訪(fǎng)問(wèn)網(wǎng)站服務(wù)器

旁路監控模式：

 

圖：WAF部署場(chǎng)景-旁路監控模式采用旁路監聽(tīng)模式，在交換機做服務(wù)器端口鏡像，將流量復制一份到WAF上，部署時(shí)不影響在線(xiàn)業(yè)務(wù)。在旁路模式下WAF只會(huì )進(jìn)行告警而不阻斷。

 

透明橋模式：

 

圖：WAF部署場(chǎng)景-透明橋模式透明橋模式是真正意義上的純透明，不會(huì )改變更改數據包任何內容，比如源端口、TCP序列號，橋模式不跟蹤TCP會(huì )話(huà)，可支持路由不對稱(chēng)環(huán)境。

 

WAF可靠性部署-透明代理下的HA主備模式：

 

圖：WAF部署場(chǎng)景-透明代理下的HA主備模式雙機HA模式下，WAF工作于A(yíng)ctive，Standby的模式，即其中一臺WAF處于檢測防護模式時(shí)，另一臺為備用，不進(jìn)行工作。當主WAF出現故障，或者與主WAF連接的上下行鏈路出現故障時(shí)，備用的WAF將協(xié)商進(jìn)入檢測防護模式。

 

• 流量的切換：根據流量來(lái)進(jìn)行判斷，從哪邊來(lái)的流量走哪邊。
• 當兩邊同時(shí)有流量的時(shí)候，需要使用主主模式，不需要心跳線(xiàn)。

WAF可靠性部署-反向代理下的HA主備模式：

 

圖：WAF部署場(chǎng)景-反向代理下的HA主備模式WAF在反向代理下通過(guò)VRRP協(xié)議來(lái)協(xié)商主備關(guān)系，正常情況下只有主機工作，備機不工作，當WAF主機出現問(wèn)題時(shí)，備機自動(dòng)切換為主機進(jìn)行工作。