1 基本概念
1.1 WAF
Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。一般作为网关设备,防护Web、Webmail服务器等。
1.2 本质
WAF的本质是Web应用防火墙,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
1.3 WAF工作原理
WAF部署在web应用程序前面,在用户请求到达web服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。
WAF的工作原理通常包括以下几个步骤:
流量识别:WAF识别来自客户端的请求,并对请求进行分析。WAF可以检查请求头、请求体、
Cookie、URL参数等信息,并识别其中的攻击。攻击检测:WAF对识别的请求进行攻击检测。WAF可以使用多种技术来检测攻击,例如正则表达式、特征匹配、行为分析等。WAF可以检测多种攻击,包括SQL注入、XSS、CSRF、命令注入等。
攻击响应:WAF根据检测结果采取相应的措施,例如拦截请求、阻止访问、记录事件等。WAF可以使用多种技术来响应攻击,例如重定向、报错、拦截等。
日志记录:WAF记录所有请求和响应的详细信息,包括请求头、请求体、响应头、响应体等。WAF可以将日志发送给中央日志管理系统,以便进行分析和审计。
2 与传统防火墙的区别
主要区别:WAF的出现解决了传统防火墙无法解决的针对应用层的攻击问题
1、WAF会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求,从而减少攻击的影响范围;
2、WAF增强了输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为,减小Web服务器被攻击的可能;
3、WAF可以对用户访问行为进行监测,为Web应用提供基于各类安全规则与异常事件的保护;
4、WAF还有一些安全增强的功能,用以解决WEB程序员过分信任输入数据带来的问题,如隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护等。
3 web应用防护系统主要解决的问题
3.1 防恶意扫描
防止被保护业务系统的漏洞、弱点被攻击者发现。
3.2 防注入&跨站攻击
阻拦利用被保护系统的漏洞发起的攻击行为。
3.3 上传&下载防护
阻拦针对被保护系统的非法上传和下载行为。
3.4 内部威胁防范
对内部业务访问进行访问控制和业务审计,防范来自内部的威胁。
3.5 防盗链
对HTTP请求的来源进行检查,并可以自定义可信源至Cookies,以此防止用户服务器访问链接被恶意盗取后,从非法的位置发送请求,获取隐私信息。
4 WAF分类
1、硬件WAF
独立的设备,与网络交换机、路由器等设备集成,拦截来自外部网络的流量。
2、软件WAF
软件WAF通常是一种安装在服务器上的应用程序,可以通过修改Web服务器或代理服务器的配置文件实现。软件WAF可以与多种Web服务器和应用程序框架集成,包括Apache、Nginx、IIS等。软件WAF通常具有灵活性和易于配置的优点,适用于多种Web应用程序。
3、云WAF
云WAF通常是一种基于云的服务,可以将Web应用程序的流量转发到云端进行处理。云WAF可以提供全球分布的节点,从而提高Web应用程序的可用性和性能。云WAF通常具有弹性扩展、自动升级等优点,适用于高可用性和高性能的Web应用程序。
5 致谢
本文部分内容参考CSDN博主「Web Security Loop」的原创文章,请大家对博主支持。原文链接:https://blog.csdn.net/weixin_44716769/article/details/129160057