您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

web应用防火墙是做什么的?与传统网络设备的区别

时间:2020-11-12 09:13:44  来源:  作者:

WAF是什么?

WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。

国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

WAF常见的部署方式:

web应用防火墙是做什么的?与传统网络设备的区别

 

WAF常见部署方式:WAF一般部署在Web服务器之前,用来保护Web应用。

那么WAF能做什么?

  • WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。
  • WAF可以对Web应用进行安全审计
  • WAF可以防止CC攻击
  • 应用交付

CC攻击:通过大量请求对应用程序资源消耗最大的应用,如WEB查询数据库应用,从而导致服务器拒绝服务 ,更详细CC攻击介绍:

 

应用交付:实际上就是指应用交付网络(Application Delivery Networking,简称ADN),它利用相应的网络优化/加速设备,确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。

从定义中可以看出应用交付的宗旨是保证企业关键业务的可靠性、可用性与安全性。应用交付应是多种技术的殊途同归,比如广域网加速、负载均衡、Web应用防火墙…针对不同的应用需求有不同的产品依托和侧重。

WAF不能做什么?

  • WAF不能过滤其他协议流量,如FTP、PoP3协议
  • WAF不能实现传统防护墙功能,如地址映射
  • WAF不能防止网络层的DDoS攻击
  • 防病毒

WAF与传统安全设备的区别:

传统安全设备特点:

  • IPS:针对蠕虫、网络病毒、后门木马防护,不具备WEB应用层的安全防护能力
  • 传统FW:作为内网与外网之间的一种访问控制设备,提供3-4层的安全防护能力,不具备WEB应用层的安全防护能力

WAF特点:

WAF是专业的应用层安全防护产品。

  • 具备威胁感知能力
  • 具备HTTP/HTTPS深度检测能力. 检出率高,误报率低/漏报率低
  • 高性能
  • 复杂环境下高稳定性

WAF的主要功能:

WAF主要是通过内置的很多安全规则 来进行防御。

可防护常见的SQL注入、XSS、网页篡改、中间件漏洞等OWASP TOP10攻击性。

当发现攻击后,可将IP进行锁定,IP锁定之后将无法访问网站业务。

也支持防止CC攻击,采用集中度和速率双重检测算法。

WAF的主要厂家:

  • 国内:安恒,绿盟,启明星辰
  • 国外:飞塔,梭子鱼,Imperva

WAF的发展历程

WAF的发展主要经历了IPS架构,反向代理,透明代理和流模式。

web应用防火墙是做什么的?与传统网络设备的区别

 

IPS架构的特点:

优势:

  • 建立在原IPS架构之上,部署简单
  • 不改变数据包内容
  • 性能较好

劣势:

  • 误报及漏报率较高
  • 难以解决HTTP慢攻击及分片攻击
  • 难以实现复杂应用,如应用交付

反向代理特点:

优势:

  • 单臂部署,不需要串接在网络中
  • 实现应用交付
  • 安全防护能力好

劣势:

  • 会改变数据包内容
  • 性能较差
  • 需要改变网络配置,故障恢复慢。

透明代理特点:

优势:

  • 半透明部署,不需要改变网络配置
  • 实现应用交付
  • 安全防护能力好
  • 故障恢复快

劣势:

  • 较少更改数据包内容
  • 性能一般

流模式特点:

优势:

  • 全透明部署,不改变网络配置/数据包内容
  • 实现应用交付
  • 安全防护能力好
  • 故障恢复快
  • 性能好

劣势:

  • 对特殊构造攻击取决于WAF缓存大小

WAF关键技术

WAF的透明代理技术原理:

web应用防火墙是做什么的?与传统网络设备的区别

 

图:WAF透明代理技术原理

透明代理技术基于TCP连接,网络协议栈应用层的代理技术,实现与客户端以及服务器双向独立的TCP连接建立,隔绝客户端和服务器的直接TCP连接建立。通讯过程如下:

web应用防火墙是做什么的?与传统网络设备的区别

 

图:WAF通信过程

WAF主要会更改如下数据包内容项:

  • 客户端TCP源端口
  • 客户端源mac/服务器源MAC地址
  • 长短连接协议版本
  • MIME类型

Web应用安全防护策略:

基于WEB攻击特征库的正则表达式的匹配方式;策略规则组织成规则链表的方式,深度检查请求头部、请求提交内容,响应头部,响应内容体等内容进行逐条匹配检查。

主要可以防止以下攻击:

  • HTTP协议合规性
  • SQL注入阻断
  • 跨站点脚本/CSRF攻击防护
  • 表单/cookie篡改防护
  • DoS攻击防护
  • 敏感信息泄漏
  • 目录遍历
  • 防扫描器探测攻击

Web应用安全审计:

WAF可以审计所有用户访问行为,通过对访问记录的深度分析,可以发掘出一些潜在的威胁情况,对于攻击防护遗漏的请求,仍然可以起到追根索源的目的。

防CC:

CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。

防止CC攻击的原理:

  • 可定义多条DOS策略
  • 可支持多个URL匹配算法
  • 可支持应用层IP匹配算法

Web应交交付:

“应用交付”,实际上就是指应用交付网络(Application Delivery Networking,简称ADN),它利用相应的网络优化/加速设备,确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。

从定义中可以看出应用交付的宗旨是保证企业关键业务的可靠性、可用性与安全性。应用交付应是多种技术的殊途同归,比如广域网加速、负载均衡、Web应用防火墙…针对不同的应用需求有不同的产品依托和侧重。

WAF一般可做的应用交付主要是通过:

web加速与数据压缩 优化服务器性能。

WAF的多种部署模式

WAF一般支持透明代理,反向代理,旁路监控,桥模式部署模式。

透明代理串接模式:

web应用防火墙是做什么的?与传统网络设备的区别

 

图:WAF部署场景-透明代理串接模式

透明代理部署模式支持透明串接部署方式。串接在用户网络中,可实现即插即用,无需用户更改网络设备与服务器配置。部署简单易用,应用于大部分用户网络中。

部署特点:

  1. 不需要改变用户网络结构,对于用户而言是透明的
  2. 安全防护性能强
  3. 故障恢复快,可支持Bypass

透明代理串接模式是采用最多的部署模式,防御效果好。

反向代理模式:

反向代理又分为两种模式,反向代理(代理模式)与反向代理(牵引模式)。

代理模式:

web应用防火墙是做什么的?与传统网络设备的区别

 

图:WAF部署场景-反向代理(代理模式)

WAF采用反向代理模式以旁路的方式接入到网络环境中,需要更改网络防火墙的目的映射表,网络防火墙映射WAF的业务口地址,将服务器的IP地址进行隐藏。

即在图中,当外网去访问www.test.com时,会解析到110.1.1.1。在网络防火墙FW上,会通过nat-server技术,将110.1.1.1外网地址解析为192.168.1.1的内网地址。而192.168.1.1为WAF的业务口地址,WAF会去访问后端服务器192.168.1.100,将包返回给WAF,WAF再返回给用户,起到了代理作用,隐藏了真正的Web服务器地址。

部署特点:

  1. 可旁路部署,对于用户网络不透明,防护能力强
  2. 故障恢复时间慢,不支持Bypass,恢复时需要重新将域名或地址映射到原服务器。
  3. 此模式应用于复杂环境中,如设备无法直接串接的环境。
  4. 访问时需要先访问WAF配置的业务口地址。
  5. 支持VRRP主备

 

牵引模式:

web应用防火墙是做什么的?与传统网络设备的区别

 

图:WAF部署场景-反向代理(牵引模式)

WAF采用反向代理模式以旁路的方式接入到网络环境中,需要在核心交换机上做策略路由PBR,将客户端访问服务器的流量牵引到WAF上,策略路由的下一跳地址为WAF的业务口地址。

部署特点:

  1. 可旁路部署,对于用户网络不透明。
  2. 故障恢复时间慢,不支持Bypass,恢复时需要删除路由器策略路由配置。
  3. 此模式应用于复杂环境中,如设备无法直接串接的环境。
  4. 访问时仍访问网站服务器

旁路监控模式:

web应用防火墙是做什么的?与传统网络设备的区别

 

图:WAF部署场景-旁路监控模式

采用旁路监听模式,在交换机做服务器端口镜像,将流量复制一份到WAF上,部署时不影响在线业务。在旁路模式下WAF只会进行告警而不阻断

透明桥模式:

web应用防火墙是做什么的?与传统网络设备的区别

 

图:WAF部署场景-透明桥模式

透明桥模式是真正意义上的纯透明,不会改变更改数据包任何内容,比如源端口、TCP序列号,桥模式不跟踪TCP会话,可支持路由不对称环境。

WAF可靠性部署-透明代理下的HA主备模式:

web应用防火墙是做什么的?与传统网络设备的区别

 

图:WAF部署场景-透明代理下的HA主备模式

双机HA模式下,WAF工作于Active,Standby的模式,即其中一台WAF处于检测防护模式时,另一台为备用,不进行工作。当主WAF出现故障,或者与主WAF连接的上下行链路出现故障时,备用的WAF将协商进入检测防护模式。

流量的切换:根据流量来进行判断,从哪边来的流量走哪边

当两边同时有流量的时候,需要使用主主模式,不需要心跳线。

WAF可靠性部署-反向代理下的HA主备模式:

web应用防火墙是做什么的?与传统网络设备的区别

 

图:WAF部署场景-反向代理下的HA主备模式

WAF在反向代理下通过VRRP协议来协商主备关系,正常情况下只有主机工作,备机不工作,当WAF主机出现问题时,备机自动切换为主机进行工作。



Tags:应用防火墙   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
随着越来越多的企业陆续上云,并通过云平台为用户提供服务,云端的 Web 应用程序防火墙(WAF)服务开始逐渐变得流行起来。面对与传统部署截然不同的环境和新的安全威胁,云端 WAF 服...【详细内容】
2021-04-25  Tags: 应用防火墙  点击:(246)  评论:(0)  加入收藏
WAF市场的发展缘于客户需要保护内外的Web应用程序。WAF保护Web应用程序和API免受各种攻击,包括自动机器人程序、注入攻击和应用层拒绝服务(DoS)攻击。它们应提供基于特征(signat...【详细内容】
2021-01-08  Tags: 应用防火墙  点击:(960)  评论:(0)  加入收藏
WAF是什么?WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提...【详细内容】
2020-11-12  Tags: 应用防火墙  点击:(179)  评论:(0)  加入收藏
有网站的朋友们肯定了解web应用防火墙,这是目前主要防护网站安全的产品,web应用防火墙一般有三种形态,硬件、软件、云形态,一般软件和云形态用的最多,因为硬件WAF普遍价格在几十...【详细内容】
2020-09-11  Tags: 应用防火墙  点击:(125)  评论:(0)  加入收藏
众所周知,网站安全防护,对于企业非常重要。2020年HTTPS加密已经普及,传统的防火墙检测功能失效,所以对于网站来说,部署一个WEB应用防火墙十分重要,这方面商业产品很多,开源的也不少...【详细内容】
2020-05-28  Tags: 应用防火墙  点击:(118)  评论:(0)  加入收藏
Web 应用程序防火墙(WAF)现在已经成为许多商业 Web 网站与系统的基本保护措施,它的确在防范许多针对 Web 系统的安全攻击方面卓有成效,但是 WAF 在面对攻击方式多种多样的 SQL...【详细内容】
2020-02-17  Tags: 应用防火墙  点击:(143)  评论:(0)  加入收藏
在一个每天都会出现新的网络攻击并出现的世界中,我们必须不断寻找和建立新的安全控制和保护机制。目前发现的最常见的网络安全威胁通常涉及数据泄露并且发生在应用程序级别,这...【详细内容】
2019-08-27  Tags: 应用防火墙  点击:(258)  评论:(0)  加入收藏
在一个每天都会出现新的网络攻击并出现的世界中,我们必须不断寻找和建立新的安全控制和保护机制。目前发现的最常见的网络安全威胁通常涉及数据泄露并且发生在应用程序级别,这...【详细内容】
2019-08-26  Tags: 应用防火墙  点击:(190)  评论:(0)  加入收藏
什么是Web应用防火墙?Web应用防火墙(Web application firewall,WAF)主要用来保护Web应用免遭跨站脚本和SQL注入等常见攻击。WAF位于Web客户端和Web服务器之间,分析应用程序层的...【详细内容】
2019-08-01  Tags: 应用防火墙  点击:(251)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(46)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(225)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(81)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(93)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(112)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条