WAF介绍

WAF是什么？

WAF的全称是（Web Application Firewall）即Web应用防火墙，简称WAF。

国际上公认的一种说法是：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

WAF常见的部署方式：

在这里插入图片描述

WAF常见部署方式

WAF一般部署在Web服务器之前，用来保护Web应用。

那么WAF能做什么？

WAF可以过滤HTTP/HTTPS协议流量，防护Web攻击。
WAF可以对Web应用进行安全审计
WAF可以防止CC攻击
应用交付

CC攻击：通过大量请求对应用程序资源消耗最大的应用，如WEB查询数据库应用，从而导致服务器拒绝服务，更详细CC攻击介绍：

https://www.cnblogs.com/wpjamer/p/9030259.html

应用交付：实际上就是指应用交付网络（Application Delivery Networking，简称ADN），它利用相应的网络优化/加速设备，确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。

从定义中可以看出应用交付的宗旨是保证企业关键业务的可靠性、可用性与安全性。应用交付应是多种技术的殊途同归，比如广域网加速、负载均衡、Web应用防火墙…针对不同的应用需求有不同的产品依托和侧重。

WAF不能做什么？

WAF不能过滤其他协议流量，如FTP、PoP3协议
WAF不能实现传统防护墙功能，如地址映射
WAF不能防止网络层的DDoS攻击
防病毒

WAF与传统安全设备的区别：

传统安全设备特点：

IPS：针对蠕虫、网络病毒、后门木马防护,不具备WEB应用层的安全防护能力
传统FW：作为内网与外网之间的一种访问控制设备，提供3-4层的安全防护能力,不具备WEB应用层的安全防护能力
UTM/NGFW:优势，UTM或者NGFW把多种安全能力融合为一体（上网行为管理、IPS、防病毒、WEB安全防护）

劣势：各安全引擎模式开启之后设备综合性能势必降低！

n多核架构/MIPS架构无法实现对HTTP/HTTPS数据包的深度检测（包括转换编码、拼接攻击语句、大小写变换、超大报文等），WEB应用攻击的检出率低、漏报率高！

WAF特点：

WAF是专业的应用层安全防护产品。

具备威胁感知能力
具备HTTP/HTTPS深度检测能力. 检出率高，误报率低/漏报率低
高性能
复杂环境下高稳定性

WAF的主要功能：

WAF主要是通过内置的很多安全规则 来进行防御。

可防护常见的SQL注入、XSS、网页篡改、中间件漏洞等OWASP TOP10攻击行。

当发现攻击后，可将IP进行锁定，IP锁定之后将无法访问网站业务。

也支持防止CC攻击，采用集中度和速率双重检测算法。

WAF的主要厂家：

国内:安恒,绿盟,启明星辰
国外:飞塔,梭子鱼,Imperva

WAF的发展历程

WAF的发展主要经历了IPS架构，反向代理，透明代理和流模式。

在这里插入图片描述

图：WAF的发展历程

IPS架构的特点：

优势：

建立在原IPS架构之上，部署简单
不改变数据包内容
性能较好

劣势：

误报及漏报率较高
难以解决HTTP慢攻击及分片攻击
难以实现复杂应用，如应用交付

反向代理特点：

优势：

单臂部署，不需要串接在网络中
实现应用交付
安全防护能力好

劣势：

会改变数据包内容
性能较差
需要改变网络配置，故障恢复慢。

透明代理特点：

优势：

半透明部署，不需要改变网络配置
实现应用交付
安全防护能力好
故障恢复快

劣势：

较少更改数据包内容
性能一般

流模式特点：

优势：

全透明部署，不改变网络配置/数据包内容
实现应用交付
安全防护能力好
故障恢复快
性能好

劣势：

对特殊构造攻击取决于WAF缓存大小

WAF关键技术

WAF的透明代理技术原理：

在这里插入图片描述

图：WAF透明代理技术原理

透明代理技术基于TCP连接，网络协议栈应用层的代理技术，实现与客户端以及服务器双向独立的TCP连接建立，隔绝客户端和服务器的直接TCP连接建立。通讯过程如下：

在这里插入图片描述

图：WAF通信过程

WAF主要会更改如下数据包内容项：

客户端TCP源端口
客户端源MAC/服务器源MAC地址
长短连接协议版本
MIME类型

Web应用安全防护策略：

基于WEB攻击特征库的正则表达式的匹配方式；策略规则组织成规则链表的方式，深度检查请求头部、请求提交内容，响应头部，响应内容体等内容进行逐条匹配检查。

主要可以防止以下攻击：

HTTP协议合规性
SQL注入阻断
跨站点脚本/CSRF攻击防护
表单/cookie篡改防护
DoS攻击防护
敏感信息泄漏
目录遍历
防扫描器探测攻击

Web应用安全审计：

WAF可以审计所有用户访问行为，通过对访问记录的深度分析，可以发掘出一些潜在的威胁情况，对于攻击防护遗漏的请求，仍然可以起到追根索源的目的。

防CC：

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来消耗服务器资源的，每个人都有这样的体验：当一个网页访问的人数特别多的时候，打开网页就慢了，CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面，造成服务器资源的浪费，CPU长时间处于100%，永远都有处理不完的连接直至就网络拥塞，正常的访问被中止。

防止CC攻击的原理：

可定义多条DOS策略
可支持多个URL匹配算法
可支持应用层IP匹配算法

Web应交交付：

“应用交付”，实际上就是指应用交付网络（Application Delivery Networking，简称ADN），它利用相应的网络优化/加速设备，确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。

从定义中可以看出应用交付的宗旨是保证企业关键业务的可靠性、可用性与安全性。应用交付应是多种技术的殊途同归，比如广域网加速、负载均衡、Web应用防火墙…针对不同的应用需求有不同的产品依托和侧重。

WAF一般可做的应用交付主要是通过：

web加速与数据压缩 优化服务器性能。

WAF的多种部署模式

WAF一般支持透明代理，反向代理，旁路监控，桥模式部署模式。

透明代理串接模式：

在这里插入图片描述

图：WAF部署场景-透明代理串接模式

透明代理部署模式支持透明串接部署方式。串接在用户网络中，可实现即插即用，无需用户更改网络设备与服务器配置。部署简单易用，应用于大部分用户网络中。

部署特点：

不需要改变用户网络结构，对于用户而言是透明的
安全防护性能强
故障恢复快，可支持Bypass

透明代理串接模式是采用最多的部署模式，防御效果好。

反向代理模式：

反向代理又分为两种模式，反向代理（代理模式）与反向代理（牵引模式）。

代理模式：

在这里插入图片描述

图：WAF部署场景-反向代理（代理模式）

WAF采用反向代理模式以旁路的方式接入到网络环境中，需要更改网络防火墙的目的映射表，网络防火墙映射WAF的业务口地址，将服务器的IP地址进行隐藏。

即在图中，当外网去访问www.test.com时，会解析到110.1.1.1。在网络防火墙FW上，会通过nat-server技术，将110.1.1.1外网地址解析为192.168.1.1的内网地址。而192.168.1.1为WAF的业务口地址，WAF会去访问后端服务器192.168.1.100，将包返回给WAF，WAF再返回给用户，起到了代理作用，隐藏了真正的Web服务器地址。

部署特点：