目录
一、WAF定义
所谓WAF,即Web Application Firewall,网络应用防火墙,是通过一系列执行针对HTTP/HTTPS的安全策略来为web应用提供安全防护的产品。
有别于传统的防火墙,WAF专门针对应用层web应用而设计,能够起到防止流量攻击、SQL注入、XSS攻击等等。
常见的WAF——安全狗防护页面如下所示:
二、WAF分类
通常而言,WAF可以分为以下4类:
1、软件型WAF
本身是一个软件,部署在服务器上,检测是否存在web攻击。
2、硬件型WAF
本身是一款硬件,可以有多种部署方式,如果是串联到链路中,则可以拦截恶意流量,如果是以旁路的形式部署,则只能记录攻击但是不能拦截。硬件型WAF一般而言比软件型WAF更加昂贵,但是检测速度快,不易称为网站瓶颈。
3、云WAF
我们可以将云WAF简单理解为带有WAF功能的CDN,因为其实现机理与CDN基本相同,都是通过更改目标站点的DNS记录,使其指向云WAF,然后对站点的访问进行过滤。云WAF通常以反向代理的方式进行工作,其最大的优点是方便快捷,但是如果攻击者能够找到站点的真实IP地址,那么云WAF就存在被直接绕过的风险。
4、站点内置WAF
所谓站点内置WAF,即网站的开发者考虑到站点的安全性,将一些过滤功能写成代码,嵌入到站点内,或者直接嵌入到页面代码中,或者以一个单独的文件列出,然后被相关页面所引用。
这种WAF的灵活性非常高,因为是直接开发在页面上,因此可以针对一项非常具体的业务,乃至一个微小的功能来实现检测和规律,但是相应的其通用型就比较低了。
三、WAF常见功能
通常而言,WAF一般具有以下功能:
1、会话审计
用于截获HTTP/HTTPS或者其他满足规则的会话。
2、访问控制
可以控制客户端对WEB应用的访问。
3、网站架构
有时WAF也可以作为一个反向代理设备,本身就是网站架构的一部分,在一些云WAF场景中经常如此。
4、WEB应用加固
WAF通常能够作为WEB应用的一道防线,屏蔽WEB应用内部安全方面的缺陷和漏洞,增强WEB应用的安全性。
四、WAF防护原理
WAF之所以能够起到对网络应用进行防护的作用,主要是基于以下手段:
1、异常检测机制
拒绝不符合HTTP标准的请求。
2、白名单/黑名单
采取白名单或者黑名单的方式,对HTTP内容进行验证。
3、基于规则和基于异常的保护
定义一些安全规则或者异常状态,基于此对服务器进行安全防护。
4、状态管理
对会话进行防护。
5、信息泄露保护
防止服务器信息泄露。
6、扫描器识别
WAF对于一些扫描器会进行识别并禁止扫描,常用的扫描器识别技术有:
(1)扫描器指纹
(2)单IP+Cookie指定时间内访问触发规则次数
(3)验证码验证
WAF——安全狗对工具检测如下: