WAF(WEB Application Firewall),全稱為“Web應(yīng)用防火墻”,也稱為“網(wǎng)站應(yīng)用級入侵防御系統(tǒng)“。WAF通過執(zhí)行一系列針對HTTP/https的安全策略,專門為WEB應(yīng)用提供保護(hù)。主要用于防御針對網(wǎng)絡(luò)應(yīng)用層的攻擊,例如SQL注入、跨站腳本攻擊、參數(shù)篡改、應(yīng)用平臺漏洞攻擊、死亡之Ping等。是一款集WEB防護(hù)、網(wǎng)頁保護(hù)、負(fù)載均衡、應(yīng)用交付于一體的WEB整體安全防護(hù)設(shè)備。彌補(bǔ)了傳統(tǒng)防火墻、IPS這類安全設(shè)備對Web應(yīng)用攻擊的防護(hù)能力不足的問題。
產(chǎn)生背景
2004年,國外的一些安全廠商提出了WEB應(yīng)用防火墻(簡稱WAF)的概念, 并逐步開始了嘗試。隨著互聯(lián)網(wǎng)的普及,企業(yè)的WEB應(yīng)用越來越多,來自于WEB的信息安全風(fēng)險(xiǎn)也越發(fā)突出。WEB攻擊通常分為惡意掃描、溢出攻擊、拒絕服務(wù)、會話劫持、信息竊取等等。與傳統(tǒng)攻擊的不同之處在于,WEB攻擊的對象不再是操作系統(tǒng)、TCP/IP協(xié)議棧等底層的組件,而是針對WEB應(yīng)用程序的應(yīng)用層攻擊。WAF可以檢測HTTP協(xié)議的請求,解析HTTP請求中的響應(yīng)元素,對存在威脅的請求進(jìn)行攔截,從而實(shí)現(xiàn)對WEB應(yīng)用層的安全防護(hù)工作。
WAF技術(shù)經(jīng)歷了一系列的演變:
分類
WAF從形態(tài)上可分為硬件WAF、WAF防護(hù)軟件和云WAF。
硬件WAF通常將專用硬件串行部署在WEB服務(wù)器前端,截獲對WEB服務(wù)器的請求,并對請求包進(jìn)行解析。將請求包與安全規(guī)則庫的攻擊規(guī)則進(jìn)行匹配,如成功匹配,則識別為異常流量,進(jìn)行請求阻斷。
軟件WAF通常部署在需要防護(hù)的服務(wù)器上,通過監(jiān)聽端口或以WEB容器擴(kuò)展方式進(jìn)行請求檢測和阻斷。
云WAF也被稱作“WEB應(yīng)用防火墻的云模式”,這種模式不需要在用戶網(wǎng)絡(luò)中安裝軟件程序或部署硬件設(shè)備,主要是利用DNS技術(shù),通過移交域名解析權(quán)來實(shí)現(xiàn)安全防護(hù)。用戶的請求首先發(fā)送到云端節(jié)點(diǎn)進(jìn)行檢測,如有異常請求,則被阻斷。對于正常請求,云端節(jié)點(diǎn)則將其轉(zhuǎn)發(fā)至真實(shí)服務(wù)器。
功能概述
WAF以完全代理的工作方式,作為WEB客戶端(WEB Browser)和服務(wù)器端(WEB Server)的中間代理人,過濾和處理交互的業(yè)務(wù)數(shù)據(jù)流,監(jiān)控HTTP/https雙向流量。所有來自用戶到WEB服務(wù)器的應(yīng)用層的訪問,都需要經(jīng)過WAF的過濾和檢測,清洗其中的惡意內(nèi)容,從應(yīng)用層上避免WEB服務(wù)器直接暴露于互聯(lián)網(wǎng)上。WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認(rèn)登錄頁面并且記錄事件。通過檢測用戶的整個(gè)操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件(比如登陸失敗),并且在達(dá)到極限值時(shí)進(jìn)行處理。這對暴力攻擊的識別和響應(yīng)是十分有利的。具體如下:
部署模式
WAF的部署模式主要有透明模式、路由模式、端口鏡像模式,滿足用戶的各種不同的網(wǎng)絡(luò)需求。
參考資料 >
「網(wǎng)絡(luò)安全」安全設(shè)備篇(6)——WAF.百度雅安網(wǎng)警巡查執(zhí)法.2023-07-10
什么是WAF.華為云 華為官方網(wǎng)站.2023-07-10
淺談WAF檢測技術(shù) 新算法提升WAF檢測精度.央視網(wǎng).2023-07-10
WEB應(yīng)用防火墻之前世今生 一、緣起.央視網(wǎng).2023-07-10