Web应用防火墙(WAF)
发表时间:2023-06-28
一、什么是Web应用防火墙(WAF)
Web应用防火墙(Web Application Firewall简称WAF)用来监控、过滤和拦截可能对网站有害的流量。对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,全面避免网站被黑客恶意攻击和入侵。
Web应用防火墙(Web Application Firewall, WAF),通过对HTTP(S)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击,保护Web服务安全稳定。
Web应用防火墙和普通防火墙一样由众多组件协调工作,来拦截恶意流量。区别于传统防火墙的是,除了拦截具体的IP地址或端口,WAF更深入地检测Web流量,探测攻击信号或可能的注入,另外,WAF是可定制的,针对不同的应用有众多不同的具体规则。
Web应用防火墙(WAF)是一种用于HTTP应用的应用防火墙,它通过一系列规则来约束HTTP连接。通常,这些规则覆盖常见的各种Web攻击如XSS和SQL注入攻击。
二、Web应用防火墙(WAF)的功能特性
1、Web攻击防护
覆盖OWASP常见安全威胁,通过预置丰富的信誉库,对恶意扫描器、IP、网马等威胁进行检测和拦截
2、全面的攻击防护
支持SQL注入、XSS跨站脚本、文件包含、目录遍历、敏感文件访问、命令\代码注入、网页木马上传、第三方漏洞攻击等威胁检测和拦截
3、 CC攻击防护
通过接口限速和人机识别,有效降低CC攻击(HTTP Flood)带来的业务影响
4、返回页面可定制
返回页面可自定义内容和类型,满足业务多样化需要
5、精准访问控制
基于丰富的字段和逻辑条件组合,打造强大的精准访问控制策略
6、支持多种条件逻辑
支持包含、不包含、等于、不等于、前缀等于、前缀不等于等逻辑条件,设置阻断或放行策略
7、安全可视化
提供简洁友好的控制界面,实时查看攻击信息和事件日志
8、策略事件集中配置
在管理端集中配置策略,快速下发,快速生效
三、Web应用防火墙(WAF)的应用场景
1、防数据泄露
恶意访问者通过SQL注入,网页木马等攻击手段,入侵网站数据库,窃取业务数据或其他敏感信息。
能够做到
[精准识别]
采用语义分析+正则表达式双引擎,对流量进行多维度精确检测,精准识别攻击流量
[变形攻击检测]
支持11种编码还原,可识别更多变形攻击,降低Web应用防火墙被绕过的风险
2、0Day漏洞修复
第三方框架或插件爆发0day漏洞时,需要通过下发虚拟补丁,第一时间防护由漏洞可能产生的攻击
能够做到
[及时响应]
无须等待厂商发布补丁,WAF专业的防护团队第一时间下发虚拟补丁,更新防御规则,实现防护
[降低成本]
降低业务升级带来的部署和运维成本,避免服务中断带来的风险
3、防CC攻击
网站被发起大量的恶意CC请求,长时间占用核心资源,导致网站业务响应缓慢或无法正常提供服务
能够做到
[配置灵活]
可根据IP或者Cookie设置灵活的限速策略,精准识别CC攻击,保障业务稳定运行
[接口定制]
用户可根据业务需要,配置响应动作和返回页面内容,满足业务定制化需要
4、防网页篡改
攻击者利用黑客技术,在网站服务器上留下后门或篡改网页内容,造成经济损失或带来负面影响
能够做到
[挂马检测]
检测恶意攻击者在网站服务器注入的恶意代码,保护网站访问者安全
[页面不被篡改]
保护页面内容安全,避免攻击者恶意篡改页面,修改页面信息或在网页上发布不良信息,影响网站品牌形象
四、Web应用防火墙(WAF)的防护原理
使用WAF后,在WAF管理控制台将网站添加并接入WAF。网站成功接入WAF后,网站所有访问请求将先流转到WAF,WAF检测过滤恶意攻击流量后,将正常流量返回给源站,从而确保源站安全、稳定、可用。
流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器,接入WAF后,在客户端看来,所有的目标IP都是WAF的IP,从而隐藏源站IP。