¿Qué es el WAF?
WAF es la abreviatura de "Servidor de seguridad de aplicaciones web" en inglés, y chino significa "Servidor de seguridad de aplicaciones web", también conocido como "Sistema de prevención de intrusiones a nivel de aplicación de sitio web". WAF es un equipo de protección de seguridad general WEB que integra protección WEB, protección de página web, equilibrio de carga y entrega de aplicaciones.
WAF debe implementarse frente al servidor web, el acceso en serie no solo requiere un alto rendimiento del hardware, sino que tampoco puede afectar los servicios web, por lo que la función HA, la función de derivación son necesarias, sino también con el equilibrio de carga, el caché web y otros sitios web La implementación de productos comunes frente al servidor está coordinada.
Tecnología principal de WAF
La tecnología principal de WAF es la capacidad de detectar la intrusión, especialmente la capacidad de detectar la intrusión de los servicios web. Los formularios de implementación comunes incluyen servicios de agencia, reconocimiento de características, reconocimiento de algoritmos y coincidencia de patrones.
Servicio de agencia
El método proxy en sí mismo es un tipo de puerta de enlace de seguridad. El proxy bidireccional basado en sesión interrumpe la conexión directa entre el usuario y el servidor. Es aplicable a varios protocolos de cifrado. Esta es también la tecnología más utilizada en las aplicaciones de caché web. El método proxy efectivamente evita que los intrusos entren directamente, suprime los ataques DDOS y suprime el comportamiento inesperado "especial".
Reconocimiento de funciones
Identificar intrusos es un requisito previo para protegerlo. La característica es la "huella digital" del atacante, como Shellcode cuando el búfer se desborda, y la "expresión verdadera (1 = 1)" común en la inyección SQL. No existe un "estándar" para la información de la aplicación, pero cada software y comportamiento tiene sus propios atributos únicos. Los virus y gusanos se identifican de esta manera. El problema es que cada ataque tiene sus propias características, y el número es relativamente grande. Al igual, la posibilidad de falsos positivos también es genial. Aunque las características del código malicioso están creciendo exponencialmente, y la comunidad de seguridad afirma eliminar esta tecnología, actualmente no hay una forma particularmente buena de identificar la capa de aplicación.
Identificación del algoritmo
El reconocimiento de funciones tiene deficiencias, y las personas buscan nuevas formas. Clasifique los tipos de ataques, modelice el mismo tipo de características, ya no es una comparación de características individuales, el reconocimiento de algoritmos es algo similar al reconocimiento de patrones, pero depende en gran medida de los métodos de ataque, como inyección SQL, DDOS, XSS, etc. El algoritmo de reconocimiento correspondiente. El reconocimiento algorítmico es para la comprensión semántica, en lugar del reconocimiento de "mirar".
Coincidencia de patrones
La tecnología "antigua" en IDS resume el comportamiento de ataque en un cierto patrón, que puede determinarse como un comportamiento de intrusión después de la coincidencia. El modo de protocolo es simple: se define de acuerdo con los procedimientos del protocolo estándar y el modo de comportamiento es más complicado.
El mayor desafío
El mayor desafío de WAF es la tasa de reconocimiento, que no es un indicador fácil de medir, porque no todos los intrusos que se escapan a la web no están totalmente promocionados. Por ejemplo, si cuelgas un caballo en la página web, es difícil detectar cuál está entrando. Por supuesto, no puedes contarlo sin saberlo. . Para los métodos de ataque conocidos, puede hablar sobre la tasa de reconocimiento; para los métodos de ataque desconocidos, debe esperar hasta que "salte".
Clasificación WAF
WAF se puede dividir en hardware WAF, software de protección WAF y WAF en la nube.
Hardware WAF
Por lo general, se implementa en serie frente al servidor web para detectar y bloquear el tráfico anormal. La tecnología de proxy se utiliza para representar el tráfico externo y analizar el paquete de solicitud. Las reglas de ataque de la base de reglas de seguridad coinciden. Si las reglas de la base de reglas coinciden con éxito, se reconocen como anormales y bloqueadas.
Software WAF
Por lo general, se implementa en un servidor que necesita protección, y las solicitudes se detectan y bloquean al escuchar el puerto o al expandir el contenedor web.
Nube WAF
Cloud WAF, también conocido como el modelo en la nube del firewall de aplicaciones WEB, permite a los usuarios implementar protección de seguridad para sitios web sin instalar programas de software o dispositivos de hardware en sus propias redes. Su principal método de implementación es utilizar la tecnología DNS. Obtenga protección de seguridad transfiriendo los derechos de resolución de nombre de dominio. La solicitud del usuario se envía primero al nodo de la nube para su detección. Si hay una solicitud anormal, se intercepta; de lo contrario, la solicitud se reenvía al servidor real.
Efecto WAF
El papel de WAF incluye principalmente la protección WEB y la prevención de fugas de información WEB, de la siguiente manera:
Protección web
1. Capa de red: ataque DDOS, Syn Flood, Ack Flood, Http / Https Flood (ataque CC), ataque lento;
2. Capa de aplicación: lista de URL en blanco y negro, especificaciones del protocolo HTTP (incluido el filtrado de caracteres especiales, método de solicitud, método de transmisión de contenido, como: multipart / form-data, text / xml, application / x-www-form-urlencoded);
3. Ataques de inyección (parámetros de formulario y URL, publicar y obtener): defensa de inyección SQL, defensa de inyección LDAP, protección de inyección de comandos (comandos del sistema operativo, shell web, etc.), inyección XPath, inyección Xml / Json, ataques XSS (parámetros de formulario y URL, Post y get se dividen actualmente en tres tipos de ataques: tipo de almacenamiento (peligroso y popular), reflexivo, XSS basado en Dom);
4. Recorrido del directorio (recorrido del camino)
5.Verificación de datos del formulario y manipulación e inyección del formulario (tarjeta bancaria de verificación del formulario, datos, fecha, etc.)
6. Gestión de autenticación y secuestro de sesión (cifrado de cookies: protección contra el secuestro de sesión, incluido el tiempo de espera de cookies).
7. Filtrado de contenido (énfasis en cargar el formulario de publicación de filtrado de contenido y obtener parámetros, el foro principal de la aplicación)
8. Detección de vulnerabilidad del servidor web (versión apache oculta, sitio oculto)
9. Protección de rastreadores (basada en IP de SRC, juicio periódico del número de visitas, excepto la lista blanca de rastreadores)
10. CSRF (falsificación de solicitud entre sitios) (WAF se puede resolver mediante el método de token)
11. Manipulación (incluyendo hotlinking) (WAF rastrea periódicamente la página web del servidor para la verificación comparativa, si se encuentra una manipulación, el Cliente visita la página web de WAF)
12 Escaneo de vulnerabilidades del servidor web (simule ataques, determine defectos, configure automáticamente las reglas correspondientes)
13.aceleración de caché (optimización de páginas estáticas, PDF, imágenes, etc., necesita una imagen periódica)
14. Filtrado de código de error (servicio de sonda y su estructura de directorio)
15. Conversión del sitio (reescritura de URL)
16. Bloqueo de ataque de descubrimiento (descubrimiento de ataque, bloqueo de usuario)
17. Comprobar antivirus
18. Transmisión cifrada (conversión http-> https, es decir, client-waf pasa https y waf y servidor http).
URL ACL (la URL coincide con algunas reglas).
Prevenir la fuga de información web
Las tarjetas bancarias (tarjetas de crédito, tarjetas de débito), tarjetas de seguridad social, licencias de conducir, etc. están cubiertas y ocultas.
Filtrado de palabras sensibles, palabras clave en la Web (palabras políticas sensibles, palabras clave técnicas, etc.)
Evite la fuga de archivos (word, pdf y otros archivos extendidos y sus palabras clave), archivos en el servidor web.