安全观察:浅谈WAF几种常见的部署模式
摘要: 随着电子商务、网上银行、电子政务的盛行,WEB服务器承载的业务价值越来越高,WEB服务器所面临的安全威胁也随之增大,因此,针对WEB应用层的防御成为必然趋势,WAF(WebApplicationFirewall,WEB应用防火墙)产品开始流行起来。 WAF产品...
随着电子商务、网上银行、电子政务的盛行,WEB服务器承载的业务价值越来越高,WEB服务器所面临的安全威胁也随之增大,因此,针对WEB应用层的防御成为必然趋势,WAF(WebApplicationFirewall,WEB应用防火墙)产品开始流行起来。
WAF产品按照形态划分可以分为三种,硬件、软件及云服务。软件WAF由于功能及性能方面的缺陷,已经逐渐被市场所淘汰。云WAF近两年才刚刚兴起,产品及市场也都还未成熟。与前两种形态相比,硬件WAF经过多年的应用,在各方面都相对成熟及完善,也是目前市场中WAF产品的主流形态。
既然是硬件产品,网络部署对于用户来说,是一个必须要考虑的问题。纵观国内外的硬件WAF产品,通常一个产品会支持多种部署模式。这也给用户在购买或部署产品时带来了困惑。以下将对硬件WAF几种常见的部署模式做一个简单介绍,希望可以帮助广大用户解除困惑。
·WAF部署位置
通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在一起(这种情况较少)。总之,决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。
·WAF部署模式分类
根据WAF工作方式及原理不同可以分为四种工作模式:透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式,通常需要将WAF串行部署在WEB服务器前端,用于检测并阻断异常流量。端口镜像模式也称为离线模式,部署也相对简单,只需要将WAF旁路接在WEB服务器上游的交换机上,用于只检测异常流量。
图1:WAF部署模式分类
·WAF几种部署模式的技术原理
(1) 透明代理模式(也称网桥代理模式):透明代理模式的工作原理是,当WEB客户端对服务器有连接请求时,TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话,将会话分成了两段,并基于桥模式进行转发。从WEB客户端的角度看,WEB客户端仍然是直接访问服务器,感知不到WAF的存在;从WAF工作转发原理看和透明网桥转发一样,因而称之为透明代理模式,又称之为透明桥模式。
典型拓扑
(2) 反向代理模式:反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF,因此在WAF无需像其它模式(如透明和路由代理模式)一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后,将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备,由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似,唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器,所以透明代理工作方式不需要在WAF上配置IP映射关系。
典型拓扑
(3) 路由代理模式:路由代理模式,它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式,其它工作原理都一样。由于工作在路由(网关)模式因此需要为WAF的转发接口配置IP地址以及路由。
典型拓扑
(4) 端口镜像模式:端口镜像模式工作时,WAF只对HTTP流量进行监控和报警,不进行拦截阻断。该模式需要使用交换机的端口镜像功能,也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言,流量只进不出。
典型拓扑
·WAF几种部署模式的优缺点
(1) 透明代理模式(也称网桥代理模式):这种部署模式对网络的改动最小,可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量,只是WAF自身功能失效。缺点是网络的所有流量(HTTP和非HTTP)都经过WAF对WAF的处理性能有一定要求,采用该工作模式无法实现服务器负载均衡功能。
(2) 反向代理模式:这种部署模式需要对网络进行改动,配置相对复杂,除了要配置WAF设备自身的地址和路由外,还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话(没经过NAT转换)那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在WAF上同时实现负载均衡。
(3) 路由代理模式:这种部署模式需要对网络进行简单改动,要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时,可以直接作为WEB服务器的网关,但是存在单点故障问题,同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。
(4) 端口镜像模式:这种部署模式不需要对网络进行改动,但是它仅对流量进行分析和告警记录,并不会对恶意的流量进行拦截和阻断,适合于刚开始部署WAF时,用于收集和了解服务器被访问和被攻击的信息,为后续在线部署提供优化配置参考。这种部署工作模式,对原有网络不会有任何影响。
WAF的基本配置
Web应用安全网关简称WAF(Web Application Firewall),该设备致力于解决Web网站的安全问题,能够实时识别和防护多种针对Web的应用层攻击,例如SQL注入、XSS跨站脚本、非法目录遍历等。WAF设备一般部署于web服务器前端,外接防火墙,所有进入内部网络的流量必经过防火墙,而所有访问web的流量必经过WAF,WAF通过对经过的web访问流量进行层层过滤并深入检查,使之最终到达Web服务器的流量是安全可靠的正常流量,由此保护了Web服务器的安全。
WAF在网络中的位置如下面的拓扑图所示,
在比赛中指定使用神州数码的DCFW-1800-WAF,其外观如图所示,
⦁ CONSOLE接口:用于设备故障调试恢复出厂设置使用;
⦁ USB接口:用于外接USB告警装置;
⦁ ETH0接口:用于接外网Internet,对应web界面配置接口为WAN口;
⦁ ETH1接口:用于接内网Web服务器,对应web界面配置接口为LAN口;
⦁ ETH2接口:用于初次登录配置WAF设备时使用,又称为带外口;
⦁ ETH3接口:WAF设备的管理口,在HA配置时为心跳口;
注意:ETH2接口有一个固定的IP为:192.168.45.1 ,该地址已经固化进设备,不能更改,在web界面上也没有该接口的配置,该接口只作为初次配置或者忘记其他口登录IP时配置WAF使用。
初次设置时,可通过eth2口登录,打开浏览器输入:https://192.168.45.1/,用户名:admin,密码:admin123。
WAF有“透明”和“反向代理”两种部署模式,其中透明模式部署不用改变网络环境,直接将设备串接接入至Web服务器前端,接入方便,此种模式当外网用户访问时直接将数据转发给服务器。这里一般都采用透明模式。
登录WAF,在左侧功能树中,点击“配置->网络配置”,运行模式选择“透明模式”->点击保存,为WAN口配置IP:192.168.1.2/24,当选择透明模式时,WAN口和LAN口组成一个网桥,此时LAN口无法配置IP地址,WAN口IP地址即是桥IP地址。
将Web服务器(IP地址192.168.1.3)接到eth1口,攻击主机接到eth0口。
登录WAF设备,进入“站点->站点管理”点击新建按钮,新建一个服务,即把需要保护的网站信息添加进去。
在攻击主机上使用浏览器输入:http://192.168.1.3/访问Web服务器,应能正常访问
1727
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
