WAF是什么?
全称:Web Application Firewall,简称:WAF。Web应用防护系统。是部署在web服务器前面的防火墙,用来保护网站应用抵御来自外部和内部的攻击。
WAF是防止WEB攻击的防火墙,是防御性的产品。有防就有攻。要具体了解它的主要功能,可以先从攻击者的角度来看。
web攻击常见有以下几种。
- SQL 注入型攻击。SQL注入是利用web应用程序中用户输入数据的验证和过滤规则的疏忽,通过输入额外的sql语句来欺骗数据库,实现非法操作,拿到或者更改一些敏感数据,来实施一些危害操作。
- XSS跨站脚本攻击。XSS是一种常见的 web 安全漏洞,它允许攻击者将恶意代码植入到提供给其它用户使用的页面中。不同于大多数攻击(一般只涉及攻击者和受害者),XSS 涉及到三方,即攻击者、客户端与Web应用。XSS 的攻击目标是为了盗取存储在客户端的 cookie 或者其他网站用于识别客户端身份的敏感信息。一旦获取到合法用户的信息后,攻击者甚至可以假冒合法用户与网站进行交互,来达到一些目的,比如发微博,加好友,发私信等。
- 目录遍历。目录遍历是一种 HTTP 攻击,它允许攻击者访问受限制的目录,并在 Web 服务器根目录之外执行命令。该漏洞因应用程序未检查文件路径引发,可能导致服务器的任意文件或源代码泄漏。
- CC攻击。CC攻击全称Challenge Collapsar(挑战黑洞),以前有一种防御网络攻击的安全设备叫黑洞,CC攻击初始目的就是为了搞垮它。所以叫挑战黑洞。CC攻击的原理是通过代理服务器或者大量肉鸡模拟多个用户访问目标网站的动态页面,制造大量的后台数据库查询动作,消耗目标CPU资源,服务器资源耗尽,造成拒绝服务。
从上面这个角度来看,WAF必须要具备这些功能:
- 禁止HTTP协议除了HEAD,GET,POST之类的其它方法,从而阻止对网站拓扑和资源的探测
- 修改响应包的server字段,避免泄露WEB服务器的操作系统,WEB服务软件和执行语言的信息
- 防止API和命令注入
- 防止路径遍历,对敏感的系统路径进行保护
- 防止sql注入
- 防止XSS攻击
- 防止网页挂马
简单来说 WAF 就是web应用程序一层防护网,可以过滤掉一些恶意攻击,保护网站的安全。
不足之处
不能防御病毒、蠕虫的攻击。不能防御缓冲区溢出攻击。
常见部署方式
最常用的是反向代理模式,类似Ngnix的部署方式。做NAT映射后把指定服务器的流量引到WAF上,处理后交给服务器。其次常用的部署方式是透明代理,不需要做NAT和反向代理,以透明的方式做代理。
总结起来一句话 WAF是保护部署在本地或者远程(云服务)的网络和公共web应用,免于一系列的攻击,但不包括DDoS攻击的防护。
--Ecloud(易刻得)
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
