㈠ WAF入门扫盲篇(一遍就懂)
WAF功能
Web Application Firewall(WAF)是工作在应用层的防火墙,主要对web请求/响应进行防护。其功能在于防御攻击,保障Web应用的安全性。从攻击者的角度思考,攻击的目标越大,价值越高。攻击步骤如下:
对于CC攻击(Challenge Collapsar),WAF必须具备限制对某些URI请求次数和限制文件上传的能力。性能方面,WAF解析HTTP消息会造成性能损耗,因此通常部署在网络层防火墙后面,以减少对性能的影响。WAF具备IP黑名单、IP白名单、动态黑名单生成和与实时计算平台对接的能力。
WAF部署模式
WAF的部署模式有:作为WEB服务器模块、作为反向代理服务器、作为路由器、作为交换机。其中,主流WAF产品多采用作为反向代理服务器的部署方式。第一种模式适用于学习者使用,第三、四种模式过于复杂且存在单点问题,因此较少见。反向代理部署方式可有效提升性能和安全性。
工作模式
WAF的工作模式包括关闭模式、监听模式和防护模式。关闭模式下,对特定站点的流量感受不到WAF的存在,通过解绑域名和重新绑定来实现。监听模式下,WAF既过规则也传递给web服务,以进行观察和调试。防护模式下,WAF直接过规则,不传递给web服务,以实现有效的防护。
规则引擎原理
WAF规则引擎分为对请求过滤和对响应过滤的两个层面。请求过滤包含网络层过滤和应用层过滤。规则引擎分为请求部分和响应部分,实现拦截有害请求和伪装响应的功能。
动作配置
WAF每条规则配置动作,对命中规则的请求执行指定处理。不同产品对动作的定义略有差异,如ModSecurity、Naxsi、华为云WAF和openresty lua WAF等。建议在规则配置中保持简单,避免误判和漏判问题,通过测试环境严格配置,并在生产环境中优化规则,实现最佳防护效果。
规则与报表
WAF规则的定义涉及过滤条件、阶段和动作。规则陷阱可能由过滤条件的包含关系引起,导致误判。规则id用于追溯,但无法完全追踪消息处理顺序。一个稳妥的规则引擎应在消息接收时增加消息id,消息离开前删除,以实现详细追踪和误判分析。报表展示维度包括消息流经WAF的过程,用于优化规则。
WAF特征
检测WAF存在的特征包括服务器字段、响应内容、响应头部字段等。常见的WAF特征如360 Firewall、阿里云盾、AWS、网络云加速、BitNinja、思科ACE XML Gateway、Cloudflare、飞塔FortiWeb、华为云WAF、IBM DataPower等。
㈡ 什么是渗透网络
渗透网络是攻击者常用的一种攻击手段,也是一种综合的高级攻击技术,同时网络渗透也是安全工作者所研究的一个课题,在他们口中通常被称为渗透测试(Penetration Test)。
无论是网络渗透(Network Penetration)还是渗透测试(Penetration Test),其实际上所指的都是同一内容,也就是研究如何一步步攻击入侵某个大型网络主机服务器群组。
只不过从实施的角度上看,前者是攻击者的恶意行为,而后者则是安全工作者模拟入侵攻击测试,进而寻找最佳安全防护方案的正当手段。