什么是WAF？

　　

　　

　　 　　

　　

　　WAF是英文‘Web Application Firewall’的缩写，中文是‘Web Application Firewall’的意思，也称为‘网站应用级入侵防御系统’。WAF是集WEB防护、网页防护、负载均衡、应用交付于一体的全WEB安全防护设备。 　　

　　

　　WAF需要部署在Web服务器前端，串口访问不仅对硬件性能要求高，而且不能影响Web服务。所以HA功能和Bypass功能是必须的，要和Web服务器前端的常用产品协同部署，比如负载均衡、Web缓存等。 　　

　　

　　

WAF主要技术

　　

　　

　　 　　

　　

　　WAF的主要技术是入侵检测能力，尤其是Web服务的入侵检测能力。常见的实现形式有代理服务、特征识别、算法识别和模式匹配。 　　

　　

　　代理服务代理本身就是一种安全网关。它是基于会话的双向代理，中断用户与服务器的直接连接。它适用于各种加密协议，也是Web Cache应用中最常用的技术。代理可以有效阻止入侵者直接进入，抑制DDOS攻击和意外的“特殊”行为。 　　

　　

　　特征识别's识别入侵者是保护它的先决条件。它是特征攻击者的“指纹”，如缓冲区溢出时的Shellcode，以及SQL注入常见的“true expression (1=1)”。信息应用没有“标准”，但每一个软件和行为都有自己独特的属性。这是识别病毒和蠕虫的方法。麻烦的是每次攻击都有自己的特点，而且数量比较多。如果太多，很容易互相雷同，误报的可能性也很大。目前恶意代码的特征呈指数级增长，安全界宣称要消灭这种技术，但目前还没有特别好的方法来识别应用层。 　　

　　

　　算法识别特征识别有缺点，人们正在寻找新的方法。对攻击类型进行分类，并对同一类的特征进行模式化，而不是比较单个特征。算法识别类似于模式识别，但它高度依赖于攻击方法。例如，SQL注入、DDOS、XSS等都开发了相应的识别算法。识别是基于语义理解，而不是基于“外貌”。 　　

　　

　　模式匹配的“古老”技术将攻击行为归纳成一定的模式，经过匹配后，可以确定是入侵行为。协议简单，但是按照标准协议定义，行为模式比较复杂。 　　

　　

　　

最大挑战

　　

　　

　　 　　

　　

　　WAF最大的挑战是识别率，这不是一个容易衡量的指标，因为并不是所有漏网的入侵者都会大肆宣传。比如哪个进来的很难察觉，不知道就无法统计。对于已知的攻击方式，可以说说识别率；对于未知的攻击方式，你得等他“跳出来”才知道。 　　

　　

　　

WAF分类

　　

　　

　　WAF可分为硬件WAF、WAF保护软件和云WAF。 　　

　　

　　 　　

　　

　　硬件WAF通常串联部署在Web服务器前端，用于检测和拦截异常流量。使用代理技术代理来自外部的流量，并对请求包进行分析，匹配安全规则库中的攻击规则。如果规则库中的规则匹配成功，则识别为异常，请求被阻止。 　　

　　

　　软件WAF通常部署在需要保护的服务器上，通过监听端口或Web容器扩展来检测和阻止请求。 　　

　　

　　Cloud WAF Cloud WAF又称WEB应用防火墙的云模式，用户无需在自己的网络中安装软件程序或部署硬件设备，即可对网站实施安全防护。其主要实现方式是利用DNS技术，通过转让域名解析权来实现安全保护。用户的请求首先发送到云节点进行检测；如果有异常请求，就会被拦截；否则，请求将被转发到真正的服务器。 　　

　　

　　

WAF作用

　　

　　

　　 　　

　　

　　WAF的功能主要包括两部分：网页防护和防止网页信息泄露，具体如下： 　　

　　

　　Web防护网络层：DDOS攻击、Syn Flood、Ack Flood、Http/Https Flood(CC攻击)、慢速攻击；应用层：URL黑白名单、HTTP协议规范(包括特殊字符过滤、请求方式、内容传输方式，例如：multipart/form-data、text/xml、application/x-www-form-urlencoded)；注入攻击(表单和URL参数，post和get): SQL注入防御，LDAP注入防御， 　　

命令注入防护（OS命令，webshell等）、 XPath注入、 Xml/Json注入、XSS攻击（form和URL参数，post和get，现阶段分为三类攻击：存储式(危害大，也是一种流行方式)，反射式、基于Dom的XSS）；目录遍历（Path Traversal）form表单数据验证和表单篡改和注入（表单验证银行卡、数据、日期等）认证管理和会话劫持（cookie加密：防护会话劫持，包括cookie超时）。内容过滤（这儿强调上传内容过滤post form和get 参数，主要应用论坛）Web服务器漏洞探测（apache版本等隐藏，站点隐藏）爬虫防护（基于SRC IP，周期判断访问数，爬虫白名单除外）CSRF（Cross-site request forgery）（WAF采用token方式处理能够解决）篡改（包括盗链）（WAF周期爬服务器网页，进行对比验证，如果篡改发现篡改，Client访问WAF网页）Web服务器漏洞扫描（模拟攻击，判断缺陷，自动配置对应规则）cache加速（静态页面优化，PDF，图片等，需要周期映像）错误码过滤（探测服务，及其目录结构）站点转换（URL rewrite）发现攻击锁定（发现攻击，锁定用户）查杀毒加密传输（http -> https转化，即client-waf之间通过https，waf与server之间http）。URL ACL（URL匹配一些规则）。防止Web信息泄露银行卡（信用卡、借记卡）、社保卡、驾照等，采用覆盖和隐藏两种方式。敏感词过滤、Web中关键词（政治敏感词、技术关键词等）防止文件泄露（word、pdf等扩展文件及其关键词），Web服务器上的文件。