㈠ WAF入門掃盲篇(一遍就懂)
WAF功能
Web Application Firewall(WAF)是工作在應用層的防火牆,主要對web請求/響應進行防護。其功能在於防禦攻擊,保障Web應用的安全性。從攻擊者的角度思考,攻擊的目標越大,價值越高。攻擊步驟如下:
對於CC攻擊(Challenge Collapsar),WAF必須具備限制對某些URI請求次數和限制文件上傳的能力。性能方面,WAF解析HTTP消息會造成性能損耗,因此通常部署在網路層防火牆後面,以減少對性能的影響。WAF具備IP黑名單、IP白名單、動態黑名單生成和與實時計算平台對接的能力。
WAF部署模式
WAF的部署模式有:作為WEB伺服器模塊、作為反向代理伺服器、作為路由器、作為交換機。其中,主流WAF產品多採用作為反向代理伺服器的部署方式。第一種模式適用於學習者使用,第三、四種模式過於復雜且存在單點問題,因此較少見。反向代理部署方式可有效提升性能和安全性。
工作模式
WAF的工作模式包括關閉模式、監聽模式和防護模式。關閉模式下,對特定站點的流量感受不到WAF的存在,通過解綁域名和重新綁定來實現。監聽模式下,WAF既過規則也傳遞給web服務,以進行觀察和調試。防護模式下,WAF直接過規則,不傳遞給web服務,以實現有效的防護。
規則引擎原理
WAF規則引擎分為對請求過濾和對響應過濾的兩個層面。請求過濾包含網路層過濾和應用層過濾。規則引擎分為請求部分和響應部分,實現攔截有害請求和偽裝響應的功能。
動作配置
WAF每條規則配置動作,對命中規則的請求執行指定處理。不同產品對動作的定義略有差異,如ModSecurity、Naxsi、華為雲WAF和openresty lua WAF等。建議在規則配置中保持簡單,避免誤判和漏判問題,通過測試環境嚴格配置,並在生產環境中優化規則,實現最佳防護效果。
規則與報表
WAF規則的定義涉及過濾條件、階段和動作。規則陷阱可能由過濾條件的包含關系引起,導致誤判。規則id用於追溯,但無法完全追蹤消息處理順序。一個穩妥的規則引擎應在消息接收時增加消息id,消息離開前刪除,以實現詳細追蹤和誤判分析。報表展示維度包括消息流經WAF的過程,用於優化規則。
WAF特徵
檢測WAF存在的特徵包括伺服器欄位、響應內容、響應頭部欄位等。常見的WAF特徵如360 Firewall、阿里雲盾、AWS、網路雲加速、BitNinja、思科ACE XML Gateway、Cloudflare、飛塔FortiWeb、華為雲WAF、IBM DataPower等。
㈡ 什麼是滲透網路
滲透網路是攻擊者常用的一種攻擊手段,也是一種綜合的高級攻擊技術,同時網路滲透也是安全工作者所研究的一個課題,在他們口中通常被稱為滲透測試(Penetration Test)。
無論是網路滲透(Network Penetration)還是滲透測試(Penetration Test),其實際上所指的都是同一內容,也就是研究如何一步步攻擊入侵某個大型網路主機伺服器群組。
只不過從實施的角度上看,前者是攻擊者的惡意行為,而後者則是安全工作者模擬入侵攻擊測試,進而尋找最佳安全防護方案的正當手段。