详解WAF与极风云WAF
到底什么是WAF
过去,企业往往会运用防火墙(比如当年流行的瑞星、金山等)架设为服务器上的安全防线,当时的防火墙是在网络层拦截一些数据包;随着网页应用的功能越来越丰富以后,互联网技术更加精湛,开始把攻击目标和攻击手段由显而易见的方向转向了源端服务器,这几年流行的CC攻击更是让用户们束手无策(毕竟从某种概念上讲并不属于黑客技术)。在此背景下,WAF应运而生。
WAF(Web Application Firewall)也属于防火墙的一种,严格意义上来说是一款轻量级Web服务器/电子邮件代理服务器,通过执行一系列针对HTTP、HTTPS的安全策略专门用于网页应用的产品,在BSD-like协议下发行。WAF早期是基于规则防护的防护设备:提供各种网页应用的安全规则,然后WAF生产商维护这个规则库并实时为其更新,用户按照这些规则对应用进行全方面的保护;但随着技术在时间的流逝下不断更新迭代,进步的不止是白客,还有隐藏在暗处的黑客手段。攻击者在大量的攻击历史中清晰地意识到这套防御思路的缺陷是难以拦截未知攻击,于是进化了攻击手段,绕开识别、打破防线,从而革新防护技术也是相当必要的,于是就有了现在领域里的WAF。这几年WAF出现了很多新的技术,譬如通过数据建模学习企业自身业务技术,从而阻拦与业务特征不相关的请求;或者使用智能语音分析引擎,从语音了解。无论是用已知漏洞攻击利用程序还是未知攻击,都可以通过鉴别cookie功能的方式来精准识别,从而规避风险:比如一个快餐店在搞大酬宾,来一个顾客赠与一份鸡腿饭,这时候有人故意搞事情,弄了一批人偶(因为攻击包没有语言模块)来冒充顾客领取鸡腿饭,这时候就需要商家想办法防止鸡腿饭被这些假冒的人偶领走:在领鸡腿饭前会递给领取人一张字条,字条上写着“XXX鸡腿饭好香”,只给那些能念出字的人,剩下无法念出字的就会判定为人偶。
WAF的工作原理
WAF对来自网页应用程序客户端的各类请求进行内容检测确保其合法性与安全性,对非法请求及时检测并拦截,为网页应用提供防护。
WAF也称作应用防火墙,属于纠正型及检测型防御措施,是网络安全纵深防御体系里重要的一环,分为软件WAF、硬件WAF和代码级WAF三种。
WAF根据对请求进行规则匹配、行为分析等判断是否具有恶意,以执行相关动作,这些动作包括留存、拦截、警报等。
WAF就像高铁站的安检,对于进入的HTTP请求进行逐一排查,通过解析HTTP数据,在不同字段分别在规则、特征等方面进行检测,从而决定是否放行。
WAF可以屏蔽常见的网站漏洞攻击,比如XSS、SQL注入、XML注入等,从技术角度来说应该称之为Web IPS,防护重点主要还是SQL注入。
网页防火墙部署在网页服务器的前端串行接入,不仅要求较高的硬件性能,而且还不能影响到网站服务,因此还会具备Bypass、HA功能,与Web Cache、负载均衡等网页服务器前的常见产品协调部署。
对于页面防火墙来说,最大的挑战就是识别率问题。这并不是一个容易具体化的指标,因为有些入侵者是很低调的,比如给网页挂马基本难以被察觉,既然察觉不到自然也就无法确认了。对于已知的攻击方式可以谈识别率,但对于未知的潜伏着的攻击方式,只能等它们自己现出原形。现在市场上大部分产品是基于规则的WAF,其原理是每一段会话都要经过一系列测试规则才能通过,否则就会被当作是非法入侵被拒绝访问。
基于规则的WAF测试很容易架构,并且能有效地防范安全问题,但是由于它们需要首先确认每一个威胁的特点,因此要构建一个能支持规则的数据库,而WAF生产商维护这个数据库并提供自动更新的工具。
这个方法不能有效保护自己开发的网页应用或者0-Day漏洞,这些威胁使用基于异常的WAF更加有效。
云WAF的功能
传统IDC基于WAF基础上推出的云WAF带有最基本的DoS流量攻击和CC防护,支持常见的Web攻击防护包括XSS、Webshell以及Web攻击防护上传、目录遍历等,云端自动更新最新的Web 0-Day漏洞防护规则,支持HTTP/HTTPS的业务防护,支持非标端口回源、盗链防护、后台管理防暴力破解以及自定义CC防护策略,过滤垃圾访问,缓解HTTP-Flood攻击。一旦网站被DoS攻击打进黑洞,解封时间大概在15分钟左右。防护域名数可以有多个,还带有业务宽带,在优势上已经远远超过了基础WAF功能。
详解WAF与极风云WAF相关推荐
- 内存条上面参数详解_价格极低的国产颗粒内存条:光威弈系列Pro评测,超频表现超稳定...
Part 1 | 开箱,满满的中国风 一直以来,好像内存条.闪存这类的产品,都是以国外(特别是美韩)的为主.这个没办法的事情,毕竟国外的存储类产品开发早,想要追赶势必会花费很多时间.不过,很多玩家期待 ...
- 【图文详解:索引极简教程】极致 SQL 查询性能优化原理
简介 在一本厚厚的书籍的前几页,通常会有几页目录.作用是让读者可以快速找到感兴趣的章节进行阅读. 目录之所以可以快速阅读,是因为它提前进行了结构化+有序处理. 同样的道理,数据库的数据表的文件下面(以 ...
- Java基础(七): instanceof用法详解
1.instanceof说明 instanceof 是 Java 的保留关键字. 作用是:测试它左边的对象是否是它右边的类的实例,返回 boolean 的数据类型. instanceof是Java中的 ...
- [转]Web应用防火墙WAF详解
通过nginx配置文件抵御攻击 0x00 前言 大家好,我们是OpenCDN团队的Twwy.这次我们来讲讲如何通过简单的配置文件来实现nginx防御攻击的效果. 其实很多时候,各种防攻击的思路我们都明 ...
- waf应用防火墙详解
通过nginx配置文件抵御攻击 0x00 前言 Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行.其特点是占有内存少,并 ...
- 是隐极电机_资料 | 发电机定子绕组端部动态特性试验详解
一.试验目的 大型汽轮发电机运行过程中,定子端部受二倍工频(100Hz)的电磁激振力.如果定子端部的模态接近100Hz,将发生谐振,从而可能因振幅过大而发生结构松动.磨损.绝缘损坏等现象,甚至断裂等故 ...
- 极智AI | 目标检测实现分享二:听说克莱今天复出了?详解 YOLOv2 算法与克莱检测
欢迎关注我的公众号 [极智视界],回复001获取Google编程规范 O_o >_< o_O O_o ~_~ o_O 大家好,我是极智视界,本文介绍一下克莱 ...
- 极智AI | 量化实现分享五:详解格灵深瞳 EQ 量化算法实现
欢迎关注我的公众号 [极智视界],回复001获取Google编程规范 O_o >_< o_O O_o ~_~ o_O 大家好,我是极智视界,本文剖析一下格灵深瞳 ...
- DS18B20温度传感器原理详解及例程代码、漏极开路
[常用传感器]DS18B20温度传感器原理详解及例程代码_Z小旋的博客-CSDN博客_ds18b20温度传感器 传感器引脚及原理图 DS18B20传感器的引脚及封装图如下: DS18B20一共有三个引 ...
- 二战风云怎么修改服务器,《二战风云》主城该如何建设 主城区建设技巧详解...
无论是哪款战争类的游戏,都是涉及到主城区的建设.在<二战风云>中同样是需要建好主城区之后才能发展其他的建筑物,等级越高开启的新功能也越多.那么游戏中我们又该如何发展自己的主城呢?今天小编就 ...
最新文章
- SqlServer2008到期升级企业版 密钥+图解
- c语言求n以内的素数的个数,关于求N以内素数的一点小问题(N小于一亿)
- linux通信--信号量
- 行业新闻 | 阿里发力知识图谱研究 悉数囊括顶尖学者探讨合作
- 基于PyTorch的CV框架,北大学生出品TorchCV
- Tensorboard详解(下篇)
- 48.孩子们的游戏(圆圈中最后剩下的数)
- 转载文章:Microsoft 将僵尸网络威胁智能分析程序引入云中以提供近实时数据
- 技嘉主板开机自动进入bios怎么解决?
- qqxml图片代码_分享三款高级qqxml消息卡片代码
- 计算机动画设计论文,计算机动画设计论文.docx
- 003内部仓储物流的“降维打击”
- 电脑没有串口怎么办?
- 移动端Click300毫秒点击延迟 解决办法
- 腾讯手游助手吃鸡一直服务器繁忙,腾讯手游助手吃鸡手游常见问题解决办法介绍...
- 答一位网友《SBO有哪样的几种开发方式》
- 如何做好一名游戏测试工程师
- C++ 对OPENCV rect矩形进行颜色填充
- 小米装linux双系统,小米9双系统发布
- IOT(34 )---联网常见通信协议与通讯协议梳理- 通讯协议