「TMV/NETWORK」- Web 应用防火墙 | WAF | Web Application Firewall

认识

WAF(Web Application Firewall,Web 应用防火墙)

Web 应用防火墙(Web Application Firewall,WAF),通过对 HTTP(S)请求进行检测,识别并阻断 SQL 注入、跨站脚本攻击、网页木马上传、命令 / 代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC 攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护 Web 服务安全稳定。

组成

开通 Web 应用防火墙后,在 WAF 管理控制台将网站添加并接入 WAF,即可启用 Web 应用防火墙。启用之后,您网站所有的公网流量都会先经过 Web 应用防火墙,恶意攻击流量在 Web 应用防火墙上被检测过滤,而正常流量返回给源站 IP,从而确保源站 IP 安全、稳定、可用。

防护原理

申请 WAF 后,在 WAF 管理控制台将网站添加并接入 WAF。网站成功接入 WAF 后,网站所有访问请求将先流转到 WAF,WAF 检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。

流量经 WAF 返回源站的过程称为回源。WAF 通过回源 IP 代替客户端发送请求到源站服务器,接入 WAF 后,在客户端看来,所有的目标 IP 都是 WAF 的 IP,从而隐藏源站 IP。

回源地址

构建

商业 WAF 产品

长河 Web应用防火墙(WAF)
https://www.kkidc.com/market/7593.html

开源 WAF 软件

The Best Open Source Web Application Firewalls – zenarmor.com

The following open-source Web Application Firewall might be helpful if you are seeking a free alternative to commercial WAF to safeguard your website:

NAXSI

WebKnight

Shadow Daemon

Coraza

OctopusWAF

IronBee

ModSecurity

性质

域名(泛域名、一级域名、二级域名等各级域名)/IP 防护:WAF 支持的防护对象:域名或 IP,云上或云下的 Web 业务。

HTTP/HTTPS 业务防护:WAF 可以防护 HTTP/HTTPS 业务,通过对 HTTP/HTTPS 请求进行检测,识别并阻断 SQL 注入、跨站脚本攻击、网页木马上传、命令 / 代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC 攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护 Web 服务安全稳定。

支持 WebSocket/WebSockets 协议:WAF 支持 WebSocket/WebSockets 协议,且默认为开启状态。

非标端口防护:Web 应用防火墙除了可以防护标准的 80,443 端口外,还支持非标准端口的防护。

Web 基础防护

覆盖 OWASP(Open Web Application Security Project,简称 OWASP)TOP 10 中常见安全威胁,通过预置丰富的信誉库,对恶意扫描器、IP、网马等威胁进行检测和拦截。

全面的攻击防护:支持 SQL 注入、XSS 跨站脚本、远程溢出攻击、文件包含、Bash 漏洞攻击、目录(路径)遍历、敏感文件访问、命令 / 代码注入、网页木马上传、后门隔离保护、非法 HTTP 协议请求、第三方漏洞攻击等威胁检测和拦截。

Webshell 检测防护:通过上传接口植入网页木马。

识别精准:(1)内置语义分析+正则双引擎,黑白名单配置,误报率更低。(2)支持防逃逸,自动还原常见编码,识别变形攻击能力更强。默认支持的编码还原类型:url_encode、Unicode、xml、OCT(八进制)、HEX(十六进制)、html 转义、base64、大小写混淆、javascript/shell/php 等拼接混淆。(3)

深度检测:深度反逃逸识别(支持同形字符混淆、通配符变形的命令注入、UTF7、Data URI Scheme 等的防护)。

header 全检测:支持对请求里 header 中所有字段进行攻击检测。

CC 攻击防护规则:可以自定义 CC 防护规则,限制单个 IP/Cookie/Referer 访问者对您的网站上特定路径(URL)的访问频率,WAF 会根据您配置的规则,精准识别 CC 攻击以及有效缓解 CC 攻击。

精准访问防护规则:精准访问防护策略可对 HTTP 首部、Cookie、访问 URL、请求参数或者客户端 IP 进行条件组合,定制化防护策略,为您的网站带来更精准的防护。

黑白名单规则:配置黑白名单规则,阻断、仅记录或放行指定 IP Address 的访问请求,即设置 IP 黑 / 白名单。

地理位置访问控制规则:针对指定国家、地区的来源 IP Address 自定义访问控制。

网页防篡改规则:当用户需要防护静态页面被篡改时,可配置网页防篡改规则。

应用

常规防护

帮助用户防护常见的 Web 安全问题,比如命令注入、敏感文件访问等高危攻击。

WAF 支持的防护对象:域名或 IP,云上或云下的 Web 业务。

电商抢购秒杀防护

当业务举办定时抢购秒杀活动时,业务接口可能在短时间承担大量的恶意请求。Web 应用防火墙可以灵活设置 CC 攻击防护的限速策略,能够保证业务服务不会因大量的并发访问而崩溃,同时尽可能地给正常用户提供业务服务。

0Day 漏洞爆发防范

当第三方 Web 框架、插件爆出高危漏洞,业务无法快速升级修复,Web 应用防火墙确认后会第一时间升级预置防护规则,保障业务安全稳定。WAF 相当于第三方网络架构加了一层保护膜,和直接修复第三方架构的漏洞相比,WAF 创建的规则能更快的遏制住风险。

防数据泄露

恶意访问者通过 SQL 注入,网页木马等攻击手段,入侵网站数据库,窃取业务数据或其他敏感信息。用户可通过 Web 应用防火墙配置防数据泄露规则,以实现:

精准识别:采用语义分析+正则表达式双引擎,对流量进行多维度精确检测,精准识别攻击流量。

变形攻击检测:支持 7 种编码还原,可识别更多变形攻击,降低 Web 应用防火墙被绕过的风险。

防网页篡改

攻击者利用黑客技术,在网站服务器上留下后门或篡改网页内容,造成经济损失或带来负面影响。用户可通过 Web 应用防火墙配置网页防篡改规则,以实现:

挂马检测:检测恶意攻击者在网站服务器注入的恶意代码,保护网站访问者安全。

页面不被篡改:保护页面内容安全,避免攻击者恶意篡改页面,修改页面信息或在网页上发布不良信息,影响网站品牌形象。

网站内容安全检测

内容合法合规性检测:国家政策要求各地方机构要认真落实意识形态工作和网络内容安全工作责任制。为响应国家政策,内容安全检测服务可对网站 / 新媒体内容进行合法合规检测,主要对文本、图片、视频、语音进行检测和识别是否包含色情、涉政、暴力、惊悚、不宜广告、垃圾信息、不良内容等,有效帮助您降低内容风险。

内容准确性检测:对网站 / 主流新媒体平台的内容进行准确性检测,主要对文本、图片、视频、语音进行表述规范审核,如对错别字、生僻字、词法表述、语法表述等内容进行检测审核。

改进

WIP