WAF-----基础

最新推荐文章于 2024-02-25 10:30:00 发布
最新推荐文章于 2024-02-25 10:30:00 发布
阅读量525 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bylfsj/article/details/101470471
版权

WAF可分为许多种,从产品形态上来划分,可以大致分为三类:
1.1硬件设备类

目前安全市场上,大多数的WAF都属于此类。它们以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护。相对于软件产品类的WAF,这类产品的优点是性能好、功能全面、支持多种模式部署等,但它的价格通常比较贵。国内的绿盟、安恒、启明星辰等厂商生产的WAF都属于此类。

1.2软件产品类

这种类型的WAF采用纯软件的方式实现,特点是安装简单,容易使用,成本低。但它的缺点也是显而易见的,因为它必须安装在Web应用服务器上,除了性能受到限制外,还可能会存在兼容性、安全等问题。这类WAF的代表有ModSecurity、Naxsi、网站安全狗等。

1.3基于云的WAF

随着云计算技术的快速发展,使得其于云的WAF实现成为可能。国内创新工场旗下的安全宝、360的网站宝是这类WAF的典型代表。

一、**Web应用防火墙技术

一般均采用反向代理技术和虚拟主机技术原理。

其工作流程是
1.将受保护的Web服务器建立虚拟主机,对每一个虚拟主机提供相应的安全策略来进行保护。

2.同时把Web应用防火墙配置为反向代理服务器,用于代理Web服务器对外部网络的连接请求。

3.当Web应用防火墙能够代理外部网络上的主机访问内部Web服务器的时候,Web应用防火墙对外就表现为一个Web服务器。
它负责把外部网络上的请求转发给内部的应用服务器,然后再把内部响应的数据返回给外部网络。

Web应用防火墙没有保存任何内部服务器的真实数据,所有的静态网页或者CGI程序,都保存在内部的Web服务器上。因此对Web应用防火墙的攻击并不会使得网页信息遭到破坏,这样就增强了Web服务器的安全性。

1.寻找网站源IP,可以绕过云WAF防护。

常见方法:

  • 1.寻找网站的历史解析记录
  • 2.多个不同地域PING网站,查看IP解析的结果
  • 3.找网站的二级域名、NS、MX记录对应的IP
  • 4.订阅网站的邮件,查看发送发的IP
    参考例子添加链接描述
bylfsj
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WAF技术及应用读书笔记(二)基础知识
ai_64的博客
10-03 878
第二章 Web应用防火墙 理解WAF概念、功能、作用、产品性能指标、防护原理。 2.1 WAF简介 应用防火墙设备主要通过一系列http/https安全策略给web应用建立保护。 2.2 WAF的功能及特点 补充了防火墙、IPS设备对Web应用防护能力不足的问题。 2.2.1 WAF的功能 ...
waf入门
西京刀客
04-28 3467
文章目录waf入门什么是wafwaf一般都有哪些功能WAF部署模式WAF工作模式规则引擎原理WAF动作WAF规则与报表WAF特征 waf入门 什么是waf Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 waf专门为Web应用提供保护。 WAF全称叫Web Application Firewall,和
网络安全-WAF技术介绍
wangtd的博客
11-13 559
Web应用程序防火墙(WAF)是一种专门设计来保护Web应用程序免受各种网络攻击的安全解决方案。它与传统的网络防火墙不同,专注于监控、分析和控制向Web应用程序发送的HTTP/HTTPS流量。WAF位于应用层(OSI模型的第七层),能够深入了解Web应用程序的工作方式和面临的安全威胁,从而提供更为精确和细致的保护措施。云基础WAF作为服务(WAF-as-a-Service)提供,由第三方供应商托管,并通过云计算平台运行。
WAF基础理解
qq_45377063的博客
07-22 1245
WAF的定义 WAF(web应用防火墙),对于应用层HTTP流量的检测与防护,也是对于常见的OWASP风险进行防护的安全设备。 WAF与防火墙、IPS的区分度 防火墙是位于互联网入口的第一道防线,它主要负责OSI模型中二层到四层的防护,四到七层的防护很微弱。 防病毒软件是在五层到七层起作用。 为了弥补防火墙和防病毒软件对四层到七层防护的空缺,IPS应运而生。 WAF的部署方式 代理和镜像 串联、旁路和反向代理都是起代理的作用 镜像拉取只有告警作用,并不能防护 串联:部署简单,但流量都得从它身上过,容易出现单
WAF基本原理与部署方式
曹世宏的博客
06-14 5万+
WAF介绍 WAF是什么? WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。 国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 WAF常见的部署方式: WAF常见部署方式 WAF一般部署在Web服务器之前,用来保护Web应用。 那么WAF能做什么? WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。 WAF可以对Web应用进行安全审计 WAF可以防止CC攻击 应用
waf-modsecurity
04-09
用于跟踪的简单Dockerfile存储库: ://hub.docker.com/repository/docker/arthurcgc/waf-modsecurity此Docker映像旨在与以下项目一起工作: : 该图像作为创建的所有nginx资源的基础图像 为什么这张图片存在? 此...
terraform-cloudflare-waf-rulesets:用于管理CloudFlare WAF规则集的Terraform模块
04-06
terraform-cloudflare-waf-rulesets 用于管理CloudFlare WAF规则集的Terraform模块。 注意:此模块是 terraform模块的硬分叉,并且适用于Cloud Posse约定。 该项目是我们针对DevOps的全面方法的一部分。 它是100%...
docker-waf:适用于Docker的基于NGINX和ModSecurity的Web应用程序防火墙
02-04
使用基于ModSecurity和NGINX构建的Web应用程序防火墙(WAF)保护Docker容器 出于多种原因,人们永远不能对在线安全过于偏执。 通常,默认情况下,容器被认为比虚拟机更安全,因为它们可以大大减少给定应用程序及其...
azdefender-demo
05-03
在演示Azure Defender基础结构和容器功能。 在演示Azure Defender,WAF和github应用程序保护功能。设置按照指南设置您的环境。身份和环境准备身份并部署环境。 在以后的演示版本中,它将被托管身份代替。 # Prepare...
OpenWAF-v0.0.4
03-28
除了两大引擎之外,还包含统计,日志,攻击响应页面,接入规则等基础模块。除了已有的功能模块,OpenWAF还支持动态修改配置, 动态添加第三方模块,使得在不重启引擎中断业务的条件下,升级防护。 OpenWAF支持将...
WAF相关知识及安全狗的部署和绕过
最新发布
wangluoanquan111的博客
02-25 1039
一:WAF基础知识(一)WAF简介WAF即Web应用程序防火墙通过过滤和监视Web应用程序与Internet之间的HTTP通信来帮助保护Web应用程序,Web ApplicationFirewall (WEB 应用防护系统)。WAF与传统的 Firewall (防火墙) 不同,WAF针对的是应用层。WAF可以用来屏蔽常见的网站漏洞攻击,如SQL注入,XML注入、XSS等。WAF针对的是应用层而非网络层的入侵,从技术角度应该称之为WebIPS。(二)WAF工作原理。
WAF基础知识
u011975363的专栏
07-16 887
waf处理逻辑 取得用户请求数据 将数据与异常请求判定的正则进行匹配 发现请求有异常就进行拦截动作 waf部署方式 通过部署反向代理服务直接取得用户请求的http数据 通过硬件设备直接读取网络层数据在解析出用户请求的HTTP数据 通关读取网卡流量取得用户数据 ...
什么是WAF防护?
ying_yingying的博客
02-04 1万+
在又拍云的云安全类别中,WAF防护是其中之一的功能,WAF主要防护的是来自对网站源站的动态数据攻击,可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击。     SQL注入攻击(SQL Injection),          简称注入攻击,是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件
Waf 基本功能
何进的博客
02-24 1万+
一、    Web防护 1.1   网络层防护 1)DDOS攻击 2)Syn Flood 3)Ack Flood 4)Http/HttpS Flood(CC攻击) 5)慢速攻击 1.2   应用层防护和功能 1)URL黑白名单 2)HTTP协议规范(包括特殊字符过滤、请求方式、内容传输方式,例如:multipart/form-data,text/xml,application/x
WAF介绍
热门推荐
白清羽的博客
06-24 9万+
一、WAF产生的背景: 过去企业通常会采用防火墙,作为安全保障的第一道防线;当时的防火墙只是在第三层(网络层)有效的阻断一些数据包;而随着web应用的功能越来越丰富的时候,Web服务器因为其强大的计算能力,处理性能,蕴含较高的价值,成为主要的被攻击目标(第五层应用层)。而传统防火墙在阻止利用应用程序漏洞进行的攻击方面,却没有办法;在此背景下,waf(Web Application...
waf 编译入门小练习
theArcticOcean
06-16 2183
原始工程 源码在:https://github.com/theArcticOcean/CLib/tree/master/myLocker 目录结构为 Make编译工具对应的Makefile: DEPEND = pthTextCode.o main.o public.o pthTextRW.o pthLocker.o LIB = -lpthread CFLAGS = -gdwa...
WAF的技术原理
qq_41666619的博客
03-29 1万+
WAF => Web Application Firewall ,可以用来屏蔽常见的网站漏洞攻击,如SQL注入,XML注入、XSS等。一般针对的是应用层而非网络层的入侵,从技术角度应该称之为Web IPS。其防护重点是SQL注入。Web防火墙产品部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必须的,而且还要与负载均衡、W...
细说——WAF
LainWith的博客
10-11 1万+
目录WAF是什么主流WAF有哪些?WAF的分类软件型WAF硬件型WAF基于云WAF开源型WAF网站内置的WAFIPS与IDS,防火墙与WAF之间的比较和差异防火墙功能IPS入侵防御系统IDS入侵检测系统WAF对比IPS与IDS防火墙与IPS / IDSWAF与IPS / IDSWAF检测手工检测工具检测WAFwafw00fsqlmapnmapWAF进程与拦截页面D盾云锁阿里云盾腾讯云安全腾讯宙斯盾360主机卫士奇安信网站卫士网站/服务器安全狗护卫神·入侵防护系统网防G01政府网站综合防护系统(“云锁”升级版
(19)网络安全:WAF你绕过去了嘛?没有撤退可言。
03-03 4201
手工,工具,就是要和waf杠到底,就算杀敌一千自损八百
在DCFW-1800-WAF-P 上配置基础防御功能,建立特征规则“http防御”,开启SQL注入、XSS攻击、信息泄露等防御功能,要求针对这些攻击阻断并保存日志发送邮件告警;
03-08
在DCFW-180-WAF-P上配置基础防御功能,可以通过以下步骤实现:首先,进入设备管理界面,选择“安全策略”选项卡,然后选择“特征规则”选项卡,创建名为“http防御”的特征规则。接下来,开启SQL注入、XSS攻击、信息...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值