认识
WAF(Web Application Firewall,Web 应用防火墙)
Web 应用防火墙(Web Application Firewall,WAF),通过对 HTTP(S)请求进行检测,识别并阻断 SQL 注入、跨站脚本攻击、网页木马上传、命令 / 代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC 攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护 Web 服务安全稳定。
组成
开通 Web 应用防火墙后,在 WAF 管理控制台将网站添加并接入 WAF,即可启用 Web 应用防火墙。启用之后,您网站所有的公网流量都会先经过 Web 应用防火墙,恶意攻击流量在 Web 应用防火墙上被检测过滤,而正常流量返回给源站 IP,从而确保源站 IP 安全、稳定、可用。
防护原理
申请 WAF 后,在 WAF 管理控制台将网站添加并接入 WAF。网站成功接入 WAF 后,网站所有访问请求将先流转到 WAF,WAF 检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。
/pasted_image.png)
流量经 WAF 返回源站的过程称为回源。WAF 通过回源 IP 代替客户端发送请求到源站服务器,接入 WAF 后,在客户端看来,所有的目标 IP 都是 WAF 的 IP,从而隐藏源站 IP。
回源地址
/pasted_image001.png)
构建
商业 WAF 产品
长河 Web应用防火墙(WAF)
https://www.kkidc.com/market/7593.html
开源 WAF 软件
The Best Open Source Web Application Firewalls – zenarmor.com
The following open-source Web Application Firewall might be helpful if you are seeking a free alternative to commercial WAF to safeguard your website:
WebKnight
Shadow Daemon
Coraza
OctopusWAF
IronBee
ModSecurity
https://github.com/bunkerity/bunkerweb
https://www.bunkerweb.io/
bunkerity/bunkerweb: 🛡️ Open-source and next-generation Web Application Firewall (WAF)
性质
域名(泛域名、一级域名、二级域名等各级域名)/IP 防护:WAF 支持的防护对象:域名或 IP,云上或云下的 Web 业务。
HTTP/HTTPS 业务防护:WAF 可以防护 HTTP/HTTPS 业务,通过对 HTTP/HTTPS 请求进行检测,识别并阻断 SQL 注入、跨站脚本攻击、网页木马上传、命令 / 代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC 攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护 Web 服务安全稳定。
支持 WebSocket/WebSockets 协议:WAF 支持 WebSocket/WebSockets 协议,且默认为开启状态。
非标端口防护:Web 应用防火墙除了可以防护标准的 80,443 端口外,还支持非标准端口的防护。
Web 基础防护:
CC 攻击防护规则:可以自定义 CC 防护规则,限制单个 IP/Cookie/Referer 访问者对您的网站上特定路径(URL)的访问频率,WAF 会根据您配置的规则,精准识别 CC 攻击以及有效缓解 CC 攻击。
精准访问防护规则:精准访问防护策略可对 HTTP 首部、Cookie、访问 URL、请求参数或者客户端 IP 进行条件组合,定制化防护策略,为您的网站带来更精准的防护。
黑白名单规则:配置黑白名单规则,阻断、仅记录或放行指定 IP Address 的访问请求,即设置 IP 黑 / 白名单。
地理位置访问控制规则:针对指定国家、地区的来源 IP Address 自定义访问控制。
网页防篡改规则:当用户需要防护静态页面被篡改时,可配置网页防篡改规则。
应用
常规防护
WAF 支持的防护对象:域名或 IP,云上或云下的 Web 业务。
电商抢购秒杀防护
0Day 漏洞爆发防范
防数据泄露
变形攻击检测:支持 7 种编码还原,可识别更多变形攻击,降低 Web 应用防火墙被绕过的风险。
防网页篡改
页面不被篡改:保护页面内容安全,避免攻击者恶意篡改页面,修改页面信息或在网页上发布不良信息,影响网站品牌形象。
网站内容安全检测
改进
WIP