WAF

[TOC]

¶1. 什么是waf？

¶概念:

WAF的全称是（Web Application Firewall）即Web应用防火墙，简称WAF。是一种用于保护Web应用程序的安全设备，Web应用程序是指通过Web浏览器或其他Web客户端访问的应用程序。WAF的目的是保护Web应用程序免受黑客、网络攻击和数据泄漏等安全威胁的攻击。

¶特点：

**监测和拦截恶意流量：**WAF可以监测流经其设备的所有流量，对恶意流量进行拦截，保护Web应用程序免受各种攻击。

**基于规则的检测：**WAF通常采用基于规则的检测技术，通过预定义规则或自定义规则来检测并拦截恶意流量。

**防止漏洞利用：**WAF可以检测和拦截各种漏洞利用攻击，如SQL注入、XSS、CSRF、命令注入等。

**安全策略：**WAF可以通过安全策略来限制流量的来源、目标和类型，从而实现更精细的流量控制和访问控制。

**高可用性：**WAF通常具有高可用性，可以通过多节点部署和负载均衡来实现高可靠性和可扩展性。

¶分类：

**硬件WAF：**硬件WAF通常是一种独立设备，它可以与网络交换机、路由器等设备集成，拦截来自外部网络的流量，并对Web应用程序进行保护。硬件WAF通常具有高性能和低延迟，适用于高流量的Web应用程序。

**软件WAF：**软件WAF通常是一种安装在服务器上的应用程序，可以通过修改Web服务器或代理服务器的配置文件实现。软件WAF可以与多种Web服务器和应用程序框架集成，包括Apache、Nginx、IIS等。软件WAF通常具有灵活性和易于配置的优点，适用于多种Web应用程序。

**云WAF：**云WAF通常是一种基于云的服务，可以将Web应用程序的流量转发到云端进行处理。云WAF可以提供全球分布的节点，从而提高Web应用程序的可用性和性能。云WAF通常具有弹性扩展、自动升级等优点，适用于高可用性和高性能的Web应用程序。

¶2. waf的工作原理

WAF的工作原理通常包括以下几个步骤：

流量识别：WAF识别来自客户端的请求，并对请求进行分析。WAF可以检查请求头、请求体、Cookie、URL参数等信息，并识别其中的攻击。

攻击检测：WAF对识别的请求进行攻击检测。WAF可以使用多种技术来检测攻击，例如正则表达式、特征匹配、行为分析等。WAF可以检测多种攻击，包括SQL注入、XSS、CSRF、命令注入等。

攻击响应：WAF根据检测结果采取相应的措施，例如拦截请求、阻止访问、记录事件等。WAF可以使用多种技术来响应攻击，例如重定向、报错、拦截等。

日志记录：WAF记录所有请求和响应的详细信息，包括请求头、请求体、响应头、响应体等。WAF可以将日志发送给中央日志管理系统，以便进行分析和审计。

¶waf和普通防火墙的区别

网络防火墙作为访问控制设备，主要工作在OSI模型三、四层（网络层和传输层），基于IP报文进行检测。只是对端口做限制，对TCP协议做封堵。(只关注正向和反向流量的目的地址、源地址以及端口)其产品设计无需理解HTTP会话，也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此，它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求，从80或443端口顺利通过防火墙检测。

WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。通过检查HTTP流量，它可以防止源自Web应用程序安全漏洞的攻击，例如SQL注入、跨站点脚本，文件包含和安全性错误配置。

¶WAF的功能：

¶通常传统waf的功能：

WAF主要是通过内置的很多安全规则 来进行防御。

可防护常见的SQL注入、XSS、网页篡改、中间件漏洞等OWASP TOP10攻击行。

当发现攻击后，可将IP进行锁定，IP锁定之后将无法访问网站业务。

也支持防止CC攻击，采用集中度和速率双重检测算法。

CC攻击：通过大量请求对应用程序资源消耗最大的应用，如WEB查询数据库应用，从而导致服务器拒绝服务

WAF不能做什么？

WAF不能做什么？

WAF不能过滤其他协议流量，如FTP、PoP3协议

WAF不能实现传统防护墙功能，如地址映射

WAF不能防止网络层的DDoS攻击

不能防病毒（NGFW可防）

¶盛邦RAYwaf的功能

1.协议合规检测

RayWAF 支持对 HTTP 协议包中各项参数，例如 URL 长度、Cookies 长度、请求行长度以及请求头长度等进行合规性控制，通过自定义阈值与参数访问控制相结合的方式，对 HTTP 数据进行第一层安全控制，从最开始杜绝非法数据包传输。

1.Web 攻击防护

RayWAF 通过预置 Web 细粒度的防护特征库，可以有效的对 OWASP TOP10 攻击行为进行拦截，全面覆盖了 WEB 应用安全存在的主要威胁，并可根据特定的攻击字段自定义特征，通过匹配的方式对可能出现的攻击执行相应的处理。

2.Web 业务控制

RayWAF 采用行为分析算法，针对访问行为分析，实现无特征行为的攻击防护，基于访问行为分析可以有效阻断此几类安全风险：爬虫，黑链，盗链，恶意文件的上传下载等行为

3.Web 敏感信息保护

RayWAF 通过中件间信息保护、数据库信息保护、敏感文件保护、代码错误信息保护、隐私信息保护、敏感词防护等诸多敏感信息检测技术，防止敏感信息被泄露

4.Web 业务加固

RayWAF 提供深入到具体应用业务内部的专项的加固保护能力，并为每种所支持的应用程序提供专门的检测防御模块，并综合提供暴力破解、弱密码检测、会话安全，CGI 防护，人机识别，访问顺序控制等多层面的多种检查、控制，从而保护业务的安全性。

5.入侵检测防护

RayWAF 通在核心技术平台上将引擎、协议分析和攻击检测分为三部分进行开发，然后再通过核心平台将它们的工作结合起来，这样可以避免由一个或两个规模很大的开发小组来维护整个检测语言系统的开发工作。另外，也增加了检测技术的适应性，可以共享各类事件库，从而能够更多的检测和防护各类攻击。另外，由于核心平台检测粒度非常精细，所以系统能够更加准确的判断网络工具行为。针对除应用层外的攻击进行全方位防护。

6.DDos 攻击防护

RayWAF 采用全新的数据采集模型，对经过流量进行分发调配，并配合多核处理架构合理利用系统资源，提升自身处理和清洗能力。同时，通过多样的DDoS 识别和二次验证算法，提升事件的检出能力和准确性

¶WAF部署方式

串联：透明代理、透明流

并联：旁路反代（代理模式和牵引模式）、旁路检测、旁路镜像阻断

¶串联模式：

透明代理：

透明代理部署模式支持透明串接部署方式。串接在用户网络中，可实现即插即用，无需用户更改网络设备与服务器配置。部署简单易用，应用于大部分用户网络中。

部署特点：

1. 不需要改变用户网络结构，对于用户而言是透明的
2. 安全防护性能强
3. 故障恢复快，可支持Bypass

透明流：

透明桥模式是真正意义上的纯透明，不会改变更改数据包任何内容，比如源端口、TCP序列号，桥模式不跟踪TCP会话，可支持路由不对称环境。

¶并联模式：

旁路反向代理（代理模式和牵引模式）

​ 代理模式：

WAF采用反向代理模式以旁路的方式接入到网络环境中，需要更改网络防火墙的目的映射表，网络防火墙映射WAF的业务口地址，将服务器的IP地址进行隐藏。

部署特点：

1. 可旁路部署，对于用户网络不透明，防护能力强
2. 故障恢复时间慢，不支持Bypass，恢复时需要重新将域名或地址映射到原服务器。
3. 此模式应用于复杂环境中，如设备无法直接串接的环境。
4. 访问时需要先访问WAF配置的业务口地址。
5. 支持VRRP主备

​ 牵引模式：

WAF采用反向代理模式以旁路的方式接入到网络环境中，需要在核心交换机上做策略路由PBR，将客户端访问服务器的流量牵引到WAF上，策略路由的下一跳地址为WAF的业务口地址。

部署特点:

1. 可旁路部署，对于用户网络不透明。
2. 故障恢复时间慢，不支持Bypass，恢复时需要删除路由器策略路由配置。
3. 此模式应用于复杂环境中，如设备无法直接串接的环境。
4. 访问时仍访问网站服务器

旁路监控模式：

采用旁路监听模式，在交换机做服务器端口镜像，将流量复制一份到WAF上，部署时不影响在线业务。在旁路模式下WAF只会进行告警而不阻断。

旁路镜像阻断模式:

此拓扑适用于 WAF 旁路镜像阻断模式，WAF 旁路接入到交换机上，接收交换机传给 WAF 的镜像数据，对镜像数据进行分析，然后针对攻击行为进行构造阻断包，中断后续会话，进行攻击行为阻断。对存在的攻击以日志形式展示出来。拓扑如下:

¶云WAF的相关概念

¶软件waf、云waf和硬件waf的优缺点

硬件WAF的优点：

1. **性能强大：**硬件WAF通常是为专门的硬件设备设计的，具有强大的处理能力，能够处理高流量和大规模的网络应用程序流量。
2. **高度可定制化：**硬件WAF通常具有灵活的配置选项，可以根据具体需求进行高度定制，以适应各种应用程序的安全需求。
3. **低延迟：**由于硬件WAF是直接部署在网络基础设施上的，因此可以实现低延迟的攻击检测和防御。

硬件WAF的缺点：

1. **高成本：**硬件WAF通常需要昂贵的硬件设备来支持其功能，包括购买、部署和维护成本。
2. **部署复杂：**硬件WAF需要物理部署，可能需要对网络基础设施进行更改或调整，这可能需要较高的技术知识和专业人员来完成。
3. **扩展性有限：**硬件WAF的扩展性受到硬件设备的限制，如果需要增加容量或支持更多应用程序，可能需要购买新的硬件设备。

软件WAF的优点：

1. **灵活性：**软件WAF可以在通用服务器上运行，无需专用硬件设备，因此具有更大的灵活性和可移植性。
2. **成本效益：**相对于硬件WAF，软件WAF的成本较低，因为它可以在现有的服务器基础设施上运行。
3. **易于部署：**软件WAF可以通过软件安装和配置来实现，相对于物理部署要简单和快速。

软件WAF的缺点：

1. **性能受限：**软件WAF的性能可能受到运行它的服务器的资源限制，处理高流量和大规模应用程序流量时可能性能下降。
2. **系统依赖：**软件WAF可能依赖于特定的操作系统和软件环境，这可能限制其在不同平台上的可用性和兼容性。
3. **安全性风险：**由于软件WAF运行在服务器上，如果服务器本身存在漏洞或受到攻击，可能会导致软件WAF的绕过或失效。

云WAF的优点：

1. **可扩展性：**云WAF基于云服务提供商的基础设施，可以根据需要轻松地扩展容量和支持更多应用程序。
2. **管理简便：**云WAF通常提供易于使用的管理界面，可以实现快速配置和更新规则，而无需进行物理或软件部署。
3. **全球分发：**云WAF通常具有全球分布的能力，可以将应用程序流量路由到最近的数据中心，提高性能和用户体验。

云WAF的缺点：

1. **数据隐私：**网站访问数据对于一些企业、机构来说为保密数据，里面可能包含用户的隐私或者商业信息，这些数据自行管控会相对安全，但是如果使用Waf，所有的数据会记录到云端，这相当于数据被别人保管，可能存在一定的泄露风险

2. **存在轻易被绕过的风险：**云Waf的主要实现原理是通过将用户的DNS解析到云节点实现防护，这样一来，如果黑客通过相关手段获取了服务器的真实IP地址，然后强制解析域名，就可以轻松绕过云Waf对服务器发起攻击

3. **可靠性低：**云Waf处理一次请求，其中需要经过DNS解析、请求调度、流量过滤等环节，其中涉及协同关联工作，其中只要有一个环节出现问题，就会导致网站无法访问。必要时，只能手动切换为原DNS来保证业务正常运行，而域名解析需要一定时间，则会导致网站短时间无法正常访问