WAF原理及分类

WAF是什么

     WAF,全称为:Web Application Firewall,即 Web 应用防火墙。

     对此,维基百科是这么解释的:Web应用程序防火墙过滤,监视和阻止与Web应用程序之间HTTP流量。WAF与常规防火墙的区别在于,WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的安全门。通过检查HTTP流量,它可以防止源自Web应用程序安全漏洞的攻击,例如SQL注入、跨站点脚本,文件包含和安全性错误配置。WAF具备以下特点:

1.全面检测WEB代码
2.深入检测HTTP/HTTPS
3.强大的特征库
4.网络层的防篡改机制

     一言蔽之,WAF就是部署在网站上的一个东东,之所以说它“东东”,是因为这玩意分好几种类型。

主流WAF有哪些? 

 

WAF的分类

WAF分为非嵌入型WAF和嵌入型WAF,非嵌入型WAF指的是硬件型WAF、云WAF、软件型WAF之类的;而嵌入型WAF指的是网站内置的WAF。非嵌入型WAF对Web流量的解析完全是靠自身的,而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面,而嵌入型WAF从Web容器模块型WAF、代码层WAF往下走,其对抗畸形报文、扫操作绕过的能力越来越强。当然,在部署维护成本方面,也是越高的。

 

 

软件型WAF

以软件的形式安装在服务器上,可以直接检测服务器是否存在webshell,是否有文件被创建等
D盾,云锁,网防G01,安全狗,护卫神,智创,悬镜,UPUPW,安骑士

硬件型WAF

以硬件的形式部署在链路中,支持多种部署方式,当串联到链路中时可以拦截恶意流量,在旁路监听时只记录攻击,不拦截
绿盟、安恒、铱迅、天融信、深信服、启明星辰、知道创宇、F5 BIG-IP

 基于云WAF

一般以反向代理的形式工作,通过配置NS或CNAME记录,使得对网站的请求报文优先经过WAF主机,经过WAF主机过滤后,将被认为无害的请求报文再发送给实际网站服务器进行请求,可以认为是自带防护功能的CDN
安全宝、创宇盾、玄武盾、腾讯云(T-Sec Web 应用防火墙)、百度云(应用防火墙 WAF)、西部数码、阿里云盾、奇安信网站卫士

开源型WAF

Naxsi、OpenRASP、ModSecurity

网站内置的WAF

网站系统内置的WAF直接镶嵌在代码中,相对来说自由度高,网站内置的WAF与业务更加契合

IPS与IDS,防火墙与WAF之间的比较和差异  

IPS(Intrusion Prevention System)
入侵防御系统
IDS(Intrusion Detection System)
入侵检测系统
WAF(Web Application Firewall)
Web应用程序防火墙


 

 

 

这些设备的拓扑如下

防火墙功能

       防火墙有几种类型,但最常见的是硬件网络防火墙。从拓扑图中可以看到,由于网络防火墙是网络安全的基石,因此在所有网络设计中都可以找到网络防火墙。

       防火墙的核心功能是允许或阻止源主机/网络与目标主机/网络之间的通信。 

       基本防火墙在OSI模型的第3层和第4层工作,即它们可以基于源/目标IP地址和源/目标TCP / UDP端口允许或阻止IP数据包。此外,网络防火墙是有状态的。这意味着防火墙会跟踪通过它的连接状态。  

       例如,如果内部主机通过防火墙成功访问了Internet网站,则后者会将连接保留在其连接表内,从而允许来自外部Web服务器的答复数据包传递到内部主机,因为它们已经属于已建立的防火墙。连接。  

       如今,下一代防火墙一直运行到OSI模型的第7层,这意味着它们能够在应用程序级别检查和控制流量。 

IPS入侵防御系统 

       顾名思义,入侵防御系统(IPS)是一种安全设备,其主要任务是防止网络入侵。
       这就是为什么IPS与数据包流串联连接的原因。从上面的网络拓扑(带IPS的防火墙)可以看出,IPS设备通常连接在防火墙后面,但是位于通信路径的串联位置,该通信路径向内部网络/从内部网络传输数据包。
       为了使IPS设备在到达内部服务器之前立即阻止恶意流量,需要上述放置。
       通常,IPS是基于签名的,这意味着它具有已知恶意流量,攻击和利用的数据库,如果它看到匹配签名的数据包,则它将阻止流量。
       此外,IPS可以处理统计异常检测,管理员设置的规则等。

 IDS入侵检测系统

       IDS(入侵检测系统)是IPS的前身,本质上是被动的。如上图所示(带IDS的防火墙),该设备未与流量串联插入,而是并行(带外放置)。
       通过交换机的流量也同时发送到IDS进行检查。如果在网络流量中检测到安全异常,则IDS只会向管理员发出警报,但无法阻止流量。
       与IPS相似,IDS设备还主要使用已知安全攻击和漏洞利用的特征来检测入侵企图。
       为了将流量发送到IDS,交换设备必须配置一个SPAN端口,以便复制流量并将其发送到IDS节点。
       尽管IDS在网络中是被动的(即它不能主动阻止流量),但是有些模型可以与防火墙配合使用以阻止安全攻击。
       例如,如果IDS检测到攻击,则IDS可以向防火墙发送命令以阻止特定的数据包。 

WAF

 

 

       WAF(Web应用程序防火墙)专注于保护网站(或通常的Web应用程序)。
       它在应用程序层工作以检查HTTP Web流量,以检测针对网站的恶意攻击。
       例如,WAF将检测SQL注入攻击,跨站点脚本,Javascript攻击,RFI / LFI攻击等。
       由于当今大多数网站都使用SSL(HTTP),因此WAF还可以通过终止SSL会话并在WAF本身上检查连接内部的流量来提供SSL加速和SSL检查。
       如上图所示(带有WAF的防火墙),它被放置在网站的前面(通常)在防火墙的DMZ区域中。
       有了WAF,管理员可以灵活地限制对网站特定部分的Web访问,提供强身份验证,检查或限制文件上传到网站等。

对比

IPS与IDS

入侵防御系统入侵检测系统
网络布局串联(串联)与网络流量与流量并行(带外)
操作模式活动设备。可以主动阻止攻击流量。被动装置。无法阻止攻击流量,只能检测。
检测机制基于签名,基于规则,统计异常检测等基于签名,基于规则,统计异常检测等
封锁选项在网络级别阻止数据包,重置连接,提醒管理员等提醒管理员,发送重置连接请求。
硬件功能必须具有高性能才能执行深度数据包检查,并且不能减慢流量。不需要非常高性能,因为它不会干预流量。但是,为了实时掌握流量,它必须能够处理线路带宽。

防火墙与IPS / IDS 

防火墙功能入侵防御/入侵防御
网络布局通常放置在网络的前端以控制流量。防火墙后的线内或带外。
主要用例允许或阻止不同网络区域之间的流量。专门检查网络数据包以使其与已知恶意攻击的特征进行匹配。然后,流量被阻止或发出警报。
检测机制通常适用于第4层,以允许或阻止IP地址和端口。基于签名,基于规则,统计异常检测等
封锁选项在网络级别阻止或允许数据包。检测攻击并直接阻止流量或发送警报。
硬件功能通常具有许多物理网络接口,以便将网络划分为不同的安全区域。必须具有高性能才能执行深度数据包检查,并且不能减慢流量。

WAF与IPS / IDS 

WAF入侵防御/入侵防御
网络布局放置在网站/ Web应用程序的前面防火墙后的线内或带外。
主要用例专用于仅检查HTTP Web流量并防止Web特定攻击。专门检查所有网络数据包,以使其与已知恶意攻击的特征进行匹配。然后,流量被阻止或发出警报。
防范这些安全攻击(示例)SQL注入,跨站点脚本,GET / POST攻击,会话操纵攻击,javascript,LFI / RFI等针对Web服务器,SMTP,RDP,DNS,Windows OS,Linux OS等服务的利用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值