網(wǎng)絡(luò)安全安全設(shè)備中的WAF
掃描二維碼
隨時(shí)隨地手機(jī)看文章
WAF是英文"Web Application Firewall"的縮寫(xiě),中文意思是"Web應(yīng)用防火墻",也稱(chēng)為"網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)"。WAF是集WEB防護(hù)、網(wǎng)頁(yè)保護(hù)、負(fù)載均衡、應(yīng)用交付于一體的WEB整體安全防護(hù)設(shè)備。WAF需要部署在Web服務(wù)器的前面,串行接入,不僅在硬件性能上要求高,而且不能影響Web服務(wù),所以HA功能、Bypass功能都是必須的,而且還要與負(fù)載均衡、Web Cache等Web服務(wù)器前的常見(jiàn)的產(chǎn)品協(xié)調(diào)部署。
WAF的主要技術(shù)是對(duì)入侵的檢測(cè)能力,尤其是對(duì)Web服務(wù)入侵的檢測(cè)能力。常見(jiàn)的實(shí)現(xiàn)形式包括代理服務(wù)、特征識(shí)別、算法識(shí)別、模式匹配。
代理服務(wù)代理方式本身是一種安全網(wǎng)關(guān),基于會(huì)話的雙向代理,中斷了用戶(hù)與服務(wù)器的直接連接,適用于各種加密協(xié)議,這也是Web的Cache應(yīng)用中最常用的技術(shù)。代理方式有效防止入侵者的直接進(jìn)入,對(duì)DDOS攻擊可以抑制,對(duì)非預(yù)料的“特別”行為也有所抑制。
特征識(shí)別識(shí)別出入侵者是防護(hù)它的前提。特征就是攻擊者的“指紋”,如緩沖區(qū)溢出時(shí)的Shellcode,SQL注入中常見(jiàn)的“真表達(dá)(1=1)”。應(yīng)用信息沒(méi)有“標(biāo)準(zhǔn)”,但每個(gè)軟件、行為都有自己的特有屬性,病毒與蠕蟲(chóng)的識(shí)別就采用此方式,麻煩的就是每種攻擊都自己的特征,數(shù)量比較龐大,多了也容易相象,誤報(bào)的可能性也大。雖然目前惡意代碼的特征指數(shù)型地增長(zhǎng),安全界聲言要淘汰此項(xiàng)技術(shù),但目前應(yīng)用層的識(shí)別還沒(méi)有特別好的方式。
算法識(shí)別特征識(shí)別有缺點(diǎn),人們?cè)趯で笮碌姆绞健?duì)攻擊類(lèi)型進(jìn)行歸類(lèi),相同類(lèi)的特征進(jìn)行模式化,不再是單個(gè)特征的比較,算法識(shí)別有些類(lèi)似模式識(shí)別,但對(duì)攻擊方式依賴(lài)性很強(qiáng),如SQL注入、DDOS、XSS等都開(kāi)發(fā)了相應(yīng)的識(shí)別算法。算法識(shí)別是進(jìn)行語(yǔ)義理解,而不是靠“長(zhǎng)相”識(shí)別。
模式匹配IDS中“古老”的技術(shù),把攻擊行為歸納成一定模式,匹配后能確定是入侵行為。協(xié)議模式是其中簡(jiǎn)單的,是按標(biāo)準(zhǔn)協(xié)議的規(guī)程來(lái)定義模式,行為模式就復(fù)雜一些。
WAF最大的挑戰(zhàn)是識(shí)別率,這并不是一個(gè)容易測(cè)量的指標(biāo),因?yàn)槁┚W(wǎng)進(jìn)去的入侵者,并非都大肆張揚(yáng),比如給網(wǎng)頁(yè)掛馬,很難察覺(jué)進(jìn)來(lái)的是哪一個(gè),不知道當(dāng)然也無(wú)法統(tǒng)計(jì)。對(duì)于已知的攻擊方式,可以談識(shí)別率;對(duì)未知的攻擊方式,你也只好等他自己“跳”出來(lái)才知道。
WAF從形態(tài)上可分為硬件WAF、WAF防護(hù)軟件和云WAF。硬件WAF通常串行部署在Web服務(wù)器前端,用于檢測(cè)、阻斷異常流量。通過(guò)代理技術(shù)代理來(lái)自外部的流量,并對(duì)請(qǐng)求包進(jìn)行解析,通過(guò)安全規(guī)則庫(kù)的攻擊規(guī)則進(jìn)行匹配,如成功匹配規(guī)則庫(kù)中的規(guī)則,則識(shí)別為異常并進(jìn)行請(qǐng)求阻斷。
軟件WAF通常部署在需要防護(hù)的服務(wù)器上,通過(guò)監(jiān)聽(tīng)端口或以Web容器擴(kuò)展方式進(jìn)行請(qǐng)求檢測(cè)和阻斷。
云WAF云WAF,也稱(chēng)WEB應(yīng)用防火墻的云模式,這種模式讓用戶(hù)不需要在自己的網(wǎng)絡(luò)中安裝軟件程序或部署硬件設(shè)備,就可以對(duì)網(wǎng)站實(shí)施安全防護(hù),它的主要實(shí)現(xiàn)方式是利用DNS技術(shù),通過(guò)移交域名解析權(quán)來(lái)實(shí)現(xiàn)安全防護(hù)。用戶(hù)的請(qǐng)求首先發(fā)送到云端節(jié)點(diǎn)進(jìn)行檢測(cè),如存在異常請(qǐng)求則進(jìn)行攔截否則將請(qǐng)求轉(zhuǎn)發(fā)至真實(shí)服務(wù)器。