WAF的简单介绍及实现

最新推荐文章于 2025-04-09 10:25:05 发布
最新推荐文章于 2025-04-09 10:25:05 发布
阅读量1.4k 收藏 2
点赞数 3
分类专栏: 服务器 文章标签: web安全 centos 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51449649/article/details/120084655
版权

WAF:Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
与传统防火墙 /IPS 设备相比较,WAF最显著的技术差异性体现在:
(1)对HTTP有本质的理解(即:能完整地解析HTTP,包括报文头部、参数及载荷。)
(2)提供应用层规则(即:具备可以检测到变形攻击的能力)
(3)提供正向安全模型(白名单)(即:只允许已知有效的输入通过,这一点增强了web的防护能力)
(4)提供会话防护机制(即:防护基于会话的攻击类型,如cookie篡改及会话劫持攻击。)
WAF支持完全代理方式,作为 Web 客户端和服务器端的中间人,它避免 Web服务器直接暴露在互联网上,监控 HTTP/HTTPS 双向流量,对其中的恶意内容(包括攻击请求以及网页内容中被植入的恶意代码)进行在线清洗。所以,它可以应用于以下场景:
(1)网页篡改在线防护(它可以按照网页篡改事件发生的时序,提供事中防护以及事后补偿的在线防护解决方案。)
(2)网页挂马在线防护(即当用户请求访问某一个页面时,WAF会对服务器侧响应的网页内容进行在线检测,判断是否被植入恶意代码,并对恶意代码进行自动过滤。)
(3)敏感信息泄露防护(WAF 可以识别并更正 Web 应用错误的业务流程,识别并防护敏感数据泄露,满足合规与审计要求。)
(4)WEB 应用交付(因为WAF同时提供SSL加速及卸载、Web caching及压缩等功能。)
以上种种便是WAF的简单介绍与其相较于传统防火墙的优点。
而WAF种类从产品形态上来划分主要分为三大类:硬件设备类、基于云的 WAF与软件产品类。
我们就简单说一下云WAF的简单实现思路:
yg3poF.jpg
我们通过openresty的lua拓展便可以将用户的DNS解析到我们的WAF服务器里,再通过WAF反向代理将流量代理到真正的web服务器上面,这时用户无法直接访问到web服务器,便可以使web服务器处于保护状态。而我们的WAF则可以在这个过程中检测URL是恶意还是正常的,并进行反馈,如果检测出来URL是恶意的,这时候便回馈给用户并发出警告,而如果是安全URL,便可以放其通行,并准备进行下次检测。

NG+WAF实现应用安全访问
有莘不破的博客
01-17 1908
NG+WAF功能,给你web增加一道防护
WAF介绍判断及绕过分析
糖小喵
04-17 4866
介绍WAF 网站存在WAF,意味着我们不能使用安全工具对网站进行测试,因为一旦触碰了WAF的规则,轻则丢弃报文,重则拉黑IP。所以,我们需要手动进行WAF的绕过,而绕过WAF前肯定需要对WAF的工作原理有一定的理解。本文主要从绕过WAF过程中需要注意的角色和点出发,尝试理解它们的运作,构建一个简单的知识框架。 非嵌入型WAFWeb流量的解析完全是靠自身的,而嵌入型WAF拿到的Web数据是已...
WAF实现
weixin_30537451的博客
11-23 212
文章来源:http://danqingdani.blog.163.com/blog/static/1860941952014101723845500/ 本篇文章从WAF产品研发的角度来YY如何实现一款可靠的WAF,灵感来自ModSecurity等,感谢开源。 本片文章包括三个主题 (1) WAF实现 WAF包括哪些组件,这些组件如何交互来实现...
简单WAF代码学习
weixin_30872157的博客
02-27 285
网上代码只见了http://sourceforge.net/projects/sqlxsswaf/?source=directory 开始read! 一: 主函数 流程很清晰, 1. 整个WAF主函数体为死循环,在while(1)的代码段中,当代码处理完毕当前日志内容后,睡眠10ms,继续从get_pos处向后处理新内容。 2. 第二个while处理日志,当找到get或post为开头...
什么是WAF?一文解析核心原理、应用场景与优劣势
最新发布
2403_86962125的博客
04-09 626
WAFWeb安全体系中不可或缺的一环,尤其适合电商、金融、政务等高风险行业。中小团队:优先选择云WAF(如上海云盾WAF、白山云WAF),快速部署且成本可控。大型企业:采用“硬件WAF+自研规则”组合,结合零信任架构提升纵深防御。开发侧配合:WAF需与安全编码、定期渗透测试结合,实现“内外兼修”。未来趋势:AI驱动的智能规则生成、边缘节点协同防护、RASP(运行时应用自保护)技术融合,将推动WAF向更自动化、精准化方向发展。工具推荐开源WAF:ModSecurity(Nginx插件)
简单WAF绕过方式
Web安全工具库
08-25 535
有些失望是不可避免的,因为你高估了自己 ---- 网易云热评 一、修改提交方式绕过 1、通过GET请求,发现and 1=1被拦截 2、换成POST请求,可以正常访问 二、通过特殊符号拆分 1、查看数据库名称,database()被拦截 2、经测试,database不拦截,()也不拦截,所以我们用/**/拆分,获取数据库名称 禁止非法,后果自负 欢迎关注公众号:web安全工具库 欢迎关注视频号:之乎者也吧 ...
开源框架openresty+nginx 实现web应用防火墙(WAF
chuanxincui的博客
01-09 8335
1、简介 Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击(Cross Site Scripting  xss)、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC(挑战黑洞)攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。 本文主要是通过春哥的开源框...
使用Nginx+Lua实现自定义WAFWeb application firewall)
qq_27546717的博客
06-26 1769
这个是整个WAF最核心的部分,流程如图2-8所示,Nginx处理HTTP协议的请求内容,将HTTP协议解析成URL、URL参数、post内容、cookie、user-agent等字段,Lua针对这些字段进行检测,判断攻击类型。WAF一句话描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。使用页面访问,可以正常使用,说明反向代理配置生效。支持URL过滤,匹配自定义规则中的条目,如果用户请求的URL包含这些,返回403。
waf:使用Nginx+Lua实现WAF(版本v1.0)
05-08
不过不是安全专业,只实现了一些比较简单的功能: 功能列表: 支持IP白名单和黑名单功能,直接将黑名单的IP访问拒绝。 支持URL白名单,将不需要过滤的URL进行定义。 支持User-Agent的过滤,匹配自定义规则中的条目,...
基于go开发的waf,包括网关和WAF两部分;.zip
05-23
它旨在成为一门简单、高效、安全和并发的编程语言,特别适用于构建高性能的服务器和分布式系统。以下是Go语言的一些主要特点和优势: 简洁性:Go语言的语法简单直观,易于学习和使用。它避免了复杂的语法特性,如...
【门神】WAF应用层实现的架构漫谈.pdf
09-18
WAFWeb应用防火墙)的实现有多种方式,文章中提到的是服务器模块+检测云模式,基于该模式详细介绍了后端整体架构与相关技术方案,实施中遇到的问题以及WAF的优劣势分析。以下是详细知识点: 1. 安全体系概念:...
硬件WAF的制作!linux系统制作硬件WAF实现透明代理,具备断电、故障Bypass功能。...
weixin_34295316的博客
03-13 1255
硬件bypass的制作过程!现实需求:WAF类的产品,很多情况下是需要Bypass的,什么是bypass?为什么要bypass呢?在现实的应用场景中,很多时候业务系统(网站)是不能中断的,比如银行、电商的网站,如果系统中断、不能访问,后果是十分严重的。而安全防护系统又不得不使用,这时就要求WAF一定要具备Bypass功能,bypass的意思是指:如果waf本身、或waf所在的...
WAF该如何实现
B.I.T
10-30 3560
对于现在的互联网,网络攻击每天都在发生,很多攻击是在七层,也就是OSI七层模型中的应用层。因此,Web应用防火墙(Web Application Firewall,简称WAF)愈发显得重要。我现在所在的公司,也一直存在被攻击的现象,时常会出现服务接口被刷从而影响到业务的正常访问。由于自己并不是专门的安全从业人员,当问题出现的时候,只能采用有限的方法来临时解决问题:在nginx服务器上运行了一个脚本,
waf可以检测哪个端口的流量_介绍WAF以及过滤机制
weixin_39640444的博客
12-12 618
简单介绍下要讲的:1.WAF简单介绍2.三种WAF介绍(云/软/硬)3.WAF的防护机制简介1.WAF简单介绍WAF(Web Application Firewall),俗称Web应用防火墙,WAF是通过检测应用层的数据来进行访问控制或者对应用进行控制,而传统防火墙对三、四层数据进行过滤,从而进行访问控制,不对应用层数据进行分析。下面我们来看一张图 WAF接受请求会先做什么这里我们可...
如何配置云WAF实现更有效的流量分发
waitaikong_的博客
06-01 579
WAFWeb Application Firewall)是一种基于云计算环境的Web应用安全防护服务,主要用于保护Web应用程序免受各种网络攻击,如SQL注入、跨站脚本(XSS)、分布式拒绝服务(DDoS)攻击等。云WAF的流量分发功能指的是它能够利用云服务提供商的全球分发网络,实现分布式地处理流量,减轻Web应用的压力,同时智能分配流量至全球各地的节点上,以实现负载均衡和快速响应。
WAF如何区分正常流量和恶意流量?
2301_79955948的博客
05-12 630
8. 智能语义分析算法:一些WAF采用先进的智能语义分析算法,这种算法能够更深入地理解和分析网络流量的内容和上下文,有效识别新兴和复杂的攻击策略,如0day攻击。7. 混合模型:WAF还可以采用混合模型,结合黑名单和白名单的优点,根据具体的配置细节,可能是内部网络Web应用程序和公共互联网Web应用程序的最佳选择。9. 实时流量监控与分析:WAF能够实时监控和分析进入网络的流量,通过对流量数据的深入分析,准确识别出哪些流量是合法的,哪些可能含有恶意内容。
WAF是什么?一篇文章带你全面了解WAF
zz12345600354的博客
05-15 1170
WAF是什么?
网络安全 | WAF防护开通流程与技术原理详解
Andya_net的博客
01-09 1104
本文主要是简单介绍通用的WAF开通流程,其实,WAF防护开通的流程涉及多个环节,包括源站改造、DNS配置、WAF策略设置等。通过合理配置源站架构和SSL证书,客户可以确保Web应用的高可用性和安全性。同时,WAF通过实时流量分析和防护机制,能够有效拦截和阻止各种网络攻击。
实战 WAF-Bypass之SQL注入绕过思路总结
qq_44005305的博客
11-12 764
WAF攻防研究之四个层次Bypass WAF那些可以绕过WAF的各种特性waf从入门到Bypasshttp://github.wh0ale.xyz/2019/12/04/waf从入门到Bypass/干货|各种WAF绕过手法学习利用分块传输绕WAF技术讨论 | 在HTTP协议层面绕过WAF
kmeans聚类算法对waf日志聚类分析怎么简单实现
03-26
<think>嗯,用户想了解如何用K-means聚类算法简单实现WAF日志的分析。首先,我需要回忆一下K-means的基本原理和步骤。K-means是一种无监督学习算法,通过迭代将数据分成K个簇,每个簇的中心由簇内点的平均值确定。那应用到WAF日志上,应该怎么做呢? 接下来,用户可能对WAF日志的结构不太清楚,可能需要先解释一下日志的常见字段,比如时间戳、源IP、请求方法、URL、状态码、User-Agent等。这些信息中哪些对聚类有用呢?可能需要特征工程,把文本数据转化为数值向量。比如,使用TF-IDF处理URL中的路径参数,或者对HTTP方法进行编码。 然后,用户提到“简单实现”,所以步骤不能太复杂。可能需要分步骤说明:数据预处理、特征提取、应用K-means、结果分析。每个步骤需要具体说明怎么做。比如,预处理要清洗数据,处理缺失值,标准化或归一化。特征提取可能需要将文本转为数值,比如用词袋模型或者TF-IDF。 不过,WAF日志里可能有大量分类变量,比如状态码、HTTP方法,这些可能需要独热编码。而URL路径可能需要分词处理,提取关键部分。比如,把路径中的数字替换为占位符,或者分割成不同的部分。比如,/user/123/profile转为/user/num/profile,这样能减少维度,避免过高的稀疏性。 然后是应用K-means。需要确定K值,可能需要手肘法或者轮廓系数。不过用户要简单实现的话,可能直接指定一个K值,比如分成5类。然后需要解释如何训练模型,计算簇中心,分配样本。 结果分析部分,可能需要可视化,比如用PCA降维后画散点图,不同簇用不同颜色。然后分析每个簇的特征,比如哪些特征在簇中比较突出,可能对应攻击类型,比如SQL注入、XSS等。 不过用户可能没有提到具体工具,可能需要用Python的sklearn库,比如用KMeans类,以及TfidfVectorizer处理文本。可能需要给出示例代码的大致步骤,比如读取数据,处理特征,训练模型,评估。 还需要注意的问题:特征选择是否合适,高维稀疏数据可能影响K-means效果,可能需要降维处理,比如用TruncatedSVD。另外,K-means对初始中心敏感,可能需要多次初始化,或者用K-means++。 可能用户的实际需求是希望通过聚类发现潜在的攻击模式,所以需要解释如何根据聚类结果识别异常请求。比如,某个簇中的请求URL包含大量特殊字符或SQL关键词,可能是SQL注入尝试。 总结下来,回答的结构应该是步骤分解,每个步骤的关键点,注意事项,可能的代码示例(伪代码或库的使用),以及结果分析的方法。同时要提醒用户预处理的重要性,特征工程的方法,以及K-means的局限性,比如需要预先设定K,对噪声敏感等。</think>Kmeans聚类算法对WAF日志分析的简单实现可分为以下步骤: --- ### 一、数据预处理 1. **字段提取** 从WAF日志中提取关键字段,如: - 请求方法(GET/POST) - URL路径(如`/api/login`) - 状态码(200/403/500) - 请求参数(如`?id=1 UNION SELECT`) - User-Agent - 请求耗时 2. **文本向量化** - 对分类变量(如状态码)使用独热编码 示例:`403 -> [0,0,1]`(假设状态码分为200/500/403) - 对URL路径和参数使用TF-IDF向量化 示例:将`/api/login?id=1`转化为数值向量 3. **标准化处理** 使用`StandardScaler`对数值型特征(如请求耗时)归一化 --- ### 二、Kmeans算法应用 1. **核心公式** 目标是最小化簇内平方和: $$ J = \sum_{i=1}^k \sum_{x \in C_i} ||x - \mu_i||^2 $$ 其中$C_i$为第$i$个簇,$\mu_i$为簇中心 2. **代码示例(Python)** ```python from sklearn.cluster import KMeans from sklearn.feature_extraction.text import TfidfVectorizer # 假设logs是预处理后的文本列表 vectorizer = TfidfVectorizer(max_features=1000) X = vectorizer.fit_transform(logs) # 设置聚类数(需根据实际调整) kmeans = KMeans(n_clusters=5, random_state=42) kmeans.fit(X) labels = kmeans.labels_ ``` --- ### 三、结果分析 1. **手肘法选K值** 绘制不同K值的SSE曲线,选择拐点: ![手肘法示意图](https://miro.medium.com/v2/resize:fit:1400/1*9Alf8NrAzw2hJY2qhh0pEg.png) 2. **典型簇解读** - **正常请求簇**:短耗时、常见URL路径 - **异常请求簇**:高频非常规参数(如`UNION`、`<script>`) - **扫描攻击簇**:状态码集中为403,User-Agent异常 --- ### 四、优化方向 1. **特征增强** - 添加请求参数长度、特殊字符比例等衍生特征 - 对User-Agent做正则匹配分类(如`Scanner/Bot`标签) 2. **后处理** - 通过轮廓系数验证聚类质量 $$ s(i) = \frac{b(i) - a(i)}{\max(a(i), b(i))} $$ - 对异常簇进行人工复核标记 --- ### 五、注意事项 1. **局限性** - Kmeans对初始中心敏感,建议多次运行取最优解 - 高维稀疏数据(如TF-IDF矩阵)需配合降维(PCA/t-SNE) 2. **扩展方案** - 结合时序分析(如突发集群请求检测) - 与DBSCAN结合处理噪声点 通过上述流程,可快速定位WAF日志中的潜在攻击模式(如SQL注入、目录遍历),实际部署时建议配合规则引擎进行二次验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值