WAF（Web应用防火墙）

什么是等保？
第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

WAF

WAF分类

软件型WAF

以软件形式装在所保护的服务器上，直接检测服务器上是否存在 webshell，是否有文件被创建等

硬件型WAF

在链路中，支持多种部署方式，当串联到链路中时可以拦截恶意流量，在旁路监听模式时 只记录攻击不
进行拦截。

云WAF

一般以反向代理形式工作，通过配置 NS 记录或 CNAME 记录，使对网站的请求报文优先经过 
WAF主机，经过 WAF 主机过滤后，将认为无害的请求再发送给实际网站服务器进行请求，可
以说是带防护功能的CDN

网站系统内置的WAF

网站系统内置的 WAF 也可以说是网站系统中内置的过滤，直接镶嵌在代码中，相对来说自 由度高，
一般有以下这几种情况：
A:输入参数强制类型转换(intval 等) 
B:输入参数合法性检测
C:关键函数执行（sql 执行、页面执行、命令执行等）前，对经过代码流程的输入进行检 测 
D:对输入的数据进行替换过滤后再继续执行代码流程（转义/替换掉特殊字符等）

WAF功能

审计设备

用来截获所有 HTTP 数据或者仅仅满足某些规则的会话

访问控制设备

用来控制对 Web 应用的访问，既包括主动安全模式也包括被动安全模式

架构/网络设计工具

当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟 基础结构等。

WEB应用加固工具

这些功能增强被保护 Web 应用的安全性，它不仅能够屏蔽 WEB 应用 固有弱点，而且能够保护 WEB 应用编程错误导致的安全隐患。

WAF常见特点

异常检测协议：拒绝不符合 HTTP 标准的请求
增强的输入验证：代理和服务端的验证，而不只是限于客户端验证
白名单&黑名单：白名单适用于稳定的 We 应用，黑名单适合处理已知问题
基于规则和基于异常的保护：基于规则更多的依赖黑名单机制，基于异常更为灵活
状态管理：重点进行会话保护

工作原理

1)扫描器指纹(head 字段/请求参数值)，以 wvs 为例，会有很明显的 Acunetix 在内的标识
2)单 IP+ cookie 某时间段内触发规则次数
3)隐藏的链接标签等,如html中的a标签
4)Cookie 植入
5)验证码验证，扫描器无法自动填充验证码
6)单 IP 请求时间段内 Webserver 返回 http 状态 404 比例，?扫描器探测敏感目录基于字典， 找不到文件则返回 404## 标题

怎么判断WAF的存在

手工判断

直接在相应网站的 URL 后面加上基础的语句，比如 union select 1,2,3%23,并且放在一个 不存在的参数名中，触发 WAF 的防护，判断是否网站存在 WAF。
被拦截的表现为（增加了无影响的测试语句后）：页面无法访问，响应码不同、返回与正常 请求网页时不同的结果等

工具判断

sqlmap:
Sqlmap -u “xxxx.com” --identify-waf –batch