把世界分为墙内和墙外的WAF|云安全5期

gagalau 发表于 2020/02/05 14:25:01 2020/02/05
【摘要】 有墙总比没墙好

生活在大中华局域网,大家对什么是“墙”都或多或少有了解,为了查资料,“翻-墙”的事估计也没少干。

这个墙是什么?其实就是大名鼎鼎的防火墙。

几乎每个公司都会在内网和外网之间竖起一道防火墙,通过设定规则,让外网不能访问内网,而内网则有限制地访问外网,只有少数被允许的网站可以直接访问。这样做,一来可以保护公司网络不被恶意攻击,保护内网的资产和信息;二来,减少员工上班逛淘宝看新闻的时间,聚焦工作,艰苦奋斗。

防火墙的原理是什么呢?其实很简单,防火墙相当于中转器,对来自内网的每个请求,都会进行中转,中转的时候进行检查,符合要求就放行,访问成功;否则就进行拦截,显示网站不存在。

华为云web应用防(WAF)火墙也是防火墙中的一种,只是主要聚焦网站应用的防护,其原理就一句话:分析HTTP/HTTPS请求,按规则检测这个请求是否符合要求,符合,放行;不符合,拦截。

image.png

使用WAF时,把要保护的域名或IP解析到提供给WAF(一般是通过CNAME纪录),WAF即开始保护域名或IP对应的服务器。这时,网站所有的公网流量都会先经过WAF,恶意攻击流量在WAF上被检测过滤,而正常流量返回给受保护的域名或IP对应的服务器。

WAF主要由以下模块组成:配置模块、协议解析模块、规则模块、动作模块、日志模块模块。

一、配置模块:设置WAF的检测和防御规则,什么时候该放行,什么时候该拦截等。

二、协议解析模块:打开网站访问使用的HTTP/HTTPS协议的数据包,就像机场安检的物品扫描和分类,这个是打火机,那个是香水,从这里分别送往下一个模块进行检测。

三、规则模块:这是WAF的核心,在这里,WAF要把从协议解析模块送来的物品按规则进行比对,判断一个访问的好坏,比如来了一瓶香水,要判断有没有超过100毫升,进行标记。这个模块又可细分为三个子模块:

1、规则配置模块:配置合适网站的检测规则,如IP黑白名单等;

2、规则解析模块:主要用以解析具体的规则文件,规则文件里是程序猿设置的各类安全规则,还有IP库、网站指纹库等等;

3、规则检测模块:把网站请求打开来看,是否符合检测规则的要求。

四、动作模块:通过规则模块,识别了请求的好坏,接下来就是做出响应,比如送过来一瓶香水,90毫升,放行;110毫升,拦截。现实里则是拦截访问,或者跳出验证码输入正确再放行,或者把请求导到其他网站上去,根据用户配置不同、规则不同、业务的不同而会采取不同动作。

五、日志模块:把防护和拦截的过程都记录下来形成日志。

image.png

通过以上模块的组合,华为云WAF能够对网站业务流量进行多维度检测,防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权访问等OWASP常见攻击,并过滤恶意的大流量攻击,避免网站资产数据泄露,保障网站安全稳定。

通过上面的介绍,大家也可以知道,一个WAF好不好,核心是下述三点:

一、规则够不够多,当然是越多越好,规则越多,可能防御的恶意攻击就越多;

二、判断够不够准,不能拦截正常访问,放行恶意访问;

三、配置够不够灵活,世界上没有完全相同的两片叶子,也没有完全相同的两个网站,每个网站都需要根据自己的业务特点来设置防御规则,因此提供的配置项越灵活越好。

对应上述三点,华为云WAF有丰富的规则库;通过语义理解+规则库+AI来提升准确度;提供丰富的配置项供用户自己定义防御规则。

总之,WAF能够抵挡绝大部分针对网站的攻击,是网站安全防护必备的良药。

看完了忍不住想买?请点击链接

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:cloudbbs@huaweicloud.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。