WAF是什么?【web应用防火墙是做什么的?与传统网络设备的区别】WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF 。
国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品 。
WAF常见的部署方式:
文章插图
WAF常见部署方式:WAF一般部署在Web服务器之前,用来保护Web应用 。
那么WAF能做什么?
- WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击 。
- WAF可以对Web应用进行安全审计
- WAF可以防止CC攻击
- 应用交付
CC攻击:通过大量请求对应用程序资源消耗最大的应用,如WEB查询数据库应用,从而导致服务器拒绝服务 ,更详细CC攻击介绍:WAF不能做什么?
应用交付:实际上就是指应用交付网络(Application Delivery Networking,简称ADN),它利用相应的网络优化/加速设备,确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群 。
从定义中可以看出应用交付的宗旨是保证企业关键业务的可靠性、可用性与安全性 。应用交付应是多种技术的殊途同归,比如广域网加速、负载均衡、Web应用防火墙…针对不同的应用需求有不同的产品依托和侧重 。
- WAF不能过滤其他协议流量,如FTP、PoP3协议
- WAF不能实现传统防护墙功能,如地址映射
- WAF不能防止网络层的DDoS攻击
- 防病毒
- IPS:针对蠕虫、网络病毒、后门木马防护,不具备WEB应用层的安全防护能力
- 传统FW:作为内网与外网之间的一种访问控制设备,提供3-4层的安全防护能力,不具备WEB应用层的安全防护能力
WAF是专业的应用层安全防护产品 。
- 具备威胁感知能力
- 具备HTTP/HTTPS深度检测能力. 检出率高,误报率低/漏报率低
- 高性能
- 复杂环境下高稳定性
可防护常见的SQL注入、XSS、网页篡改、中间件漏洞等OWASP TOP10攻击性 。
当发现攻击后,可将IP进行锁定,IP锁定之后将无法访问网站业务 。
也支持防止CC攻击,采用集中度和速率双重检测算法 。
WAF的主要厂家:
- 国内:安恒,绿盟,启明星辰
- 国外:飞塔,梭子鱼,Imperva
文章插图
IPS架构的特点:优势:
- 建立在原IPS架构之上,部署简单
- 不改变数据包内容
- 性能较好
- 误报及漏报率较高
- 难以解决HTTP慢攻击及分片攻击
- 难以实现复杂应用,如应用交付
- 单臂部署,不需要串接在网络中
- 实现应用交付
- 安全防护能力好
- 会改变数据包内容
- 性能较差
- 需要改变网络配置,故障恢复慢 。
- 半透明部署,不需要改变网络配置
- 实现应用交付
- 安全防护能力好
- 故障恢复快
- 较少更改数据包内容
- 性能一般
- 全透明部署,不改变网络配置/数据包内容
- 实现应用交付
- 安全防护能力好
- 故障恢复快
- 性能好
- 对特殊构造攻击取决于WAF缓存大小
文章插图
图:WAF透明代理技术原理
透明代理技术基于TCP连接,网络协议栈应用层的代理技术,实现与客户端以及服务器双向独立的TCP连接建立,隔绝客户端和服务器的直接TCP连接建立 。通讯过程如下:
文章插图
图:WAF通信过程
WAF主要会更改如下数据包内容项:
- 客户端TCP源端口
- 客户端源mac/服务器源MAC地址
- 长短连接协议版本
- MIME类型
推荐阅读
- .NET 5.0 正式版发布:应用可在ARM64设备上原生运行
- Redis、MongoDB、HBase应用场景分析
- Websocket技术选型参考
- Java内置条件队列应用,实现经典的生产者消费者算法
- 想了解Webpack,看这篇就够了
- Shell应用:批量导入SQL文件,你还在复制粘贴文件名?
- 线上应用诊断与调试利器——Arthas
- 下一代视频编码技术的云视频应用探索
- 腾讯云快直播——超低延迟直播技术方案及应用
- python:栈的理解与应用