关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

WAF的应用和市场前景

发布时间:2021-03-16 10:06:53

1.研究背景:

以前,企业通常会使用防火墙作为安全保障的第一道防线;当时,防火墙只在第三层(网络层)有效地阻断了一些数据包;而随着web应用功能日益丰富,由于其强大的计算能力、处理性能、蕴涵的高价值而成为主要的被攻击目标(第五层应用层)。而且,对于阻止利用web服务器应用程序漏洞进行的攻击,传统防火墙也无能为力;在这种情况下,waf(WebApplicationFirewall)就出现了。

WAF被称为web应用防火墙,它通过执行一系列针对HTTP、HTTPS的安全策略,为web应用提供保护。WAF最初是基于规则保护的防护设备;基于规则保护,可以提供各种web应用的安全规则,waf开发者可以维护此规则库,并实时更新,用户可以根据这些规则对应用进行全面保护。

2.什么是WAF:

Waf是一种通过执行HTTP/HTTPS上的一系列安全策略而为Web应用提供特殊保护的产品。

3.WAF是如何工作的:

Web应用防火墙(WebApplicationFirewall)的简称WAF,它检测并验证来自Web应用程序客户机的各种请求的内容,确保它们的安全性和合法性,实时阻止非法请求,为Web应用提供保护,又称为应用防火墙,是网络安全纵深防御系统中的一个重要环节。WAF属于检测器和纠正性防御控制措施。它被分成硬件WAF、软件WAF(ModSecurity)和代码级WAF。

在Web服务器出现之前,WAF负责检测和识别基于HTTP协议的通信。一般而言,WAF与地铁安检相似,对HTTP请求进行快速安全检查,通过解析HTTP数据,在不同的字段中分别在特征、规则等方面进行判断,所判断的结果作为是否拦截的依据,从而决定是否放行。

利用WAF可以屏蔽诸如SQL注入,XML注入,XSS等常见的网站漏洞攻击。通常攻击的对象是应用层,而不是网络层,从技术角度来说,应该称为WebIPS。保护的重点是SQL注入。

WebFirefox产品部署在Web服务器之前,不仅对硬件性能有很高的要求,而且不会影响Web服务,因此HA功能、Bypass功能都是必须的,而且还需要与常见的Web服务器如负载平衡、WebCache等协调部署。

web应用防火墙的主要技术是检测入侵,特别是检测web服务入侵,web防火墙最大的挑战就是识别率,这个不容易衡量,因为不法之徒进入web系统,并没有大肆宣传,比如给网页挂上马牌,你很难察觉是谁进入了,不知道谁进入了。关于已知的攻击方式,可以谈一下识别率;关于未知的攻击方式,你得等到他自己“跳出”才知道。

目前市场上大部分产品都是基于WAF的规则。这样做的原因是,每个会话都要经过一系列的测试,每个测试都包含一个过多的检测规则,如果测试失败,请求就会被认为是非法的并且被拒绝。

建立在规则基础上的WAF测试易于建立,能够有效地防止已知安全问题。在开发定制的防御策略时,使用该策略会更方便。但由于它们必须首先确认每个威胁的特征,因此需要强大的规则数据库来提供支持。该数据库由WAF制造商维护,他们将提供自动更新工具。这种方法不能有效地保护自己开发的WEB应用或零日期漏洞(攻击者使用的非公开漏洞),因为这些威胁使用了基于异常的WAF。

例外保护的基本概念是建立一个保护层,该层能够基于检测合法应用数据建立统计模型,以此判断实际通信数据是否为攻击。从理论上讲,一个基于异常的系统应该能够探测到任何异常情况,但是构建却成功了。有了它,我们不再需要规则数据库,零天攻击也不会成为问题。但是,基于异常保护的系统很难建立,因此不常见。由于用户不理解其工作原理也不相信它,因此也不如基于规则的WAF应用范围大。

WAF有哪些应用特性:

一、审核装置:

为以下与系统自身安全有关的事件生成审计记录:

(1)管理员登陆后采取的行动;

(2)在安全策略中采取增加、修改、删除等行动;

(3)诸如增加、删除和修改管理角色等行动行为;

四、其他安全功能配置参数的设置或更新等行为。

2.访问控制装置:

用于控制对Web应用程序的访问,包括主动安全模式和被动安全模式。

3.结构/网络设计工具:

在反向代理模式中,它们被用于分配功能、集中控制、虚拟基础设施等等。

4.Web应用强化工具:

保护网络应用的安全性,不仅可以屏蔽WEB应用的内在弱点,还可以防止由于WEB应用编程错误而带来的安全隐患。

5.WAF工作特点:

第一,异常检测协议:

web应用防火墙将异常检测HTTP请求,拒绝那些不符合HTTP标准的请求。此外,它还可以只允许部分HTTP协议选项通过,从而降低了攻击的范围。即使是某些Web应用防火墙也会严格限定HTTP协议中那些过于松散或者没有被充分定义的选项。

2.验证输入增强:

加强输入验证,能有效地防止网页篡改、信息泄漏、木马移植等恶意网络入侵。减少了Web服务器遭受攻击的可能性。

3.及时修复:

补丁网络安全漏洞,是Web应用开发人员最头疼的问题,没人知道下一秒会出现什么漏洞,给Web应用带来什么危害。WAF可以为我们做这件事——只要WAF能够在不到一小时的时间里完全屏蔽这个漏洞。这种消除漏洞的方法当然不是完美的,如果没有安装相应的补丁,那么它本身就会对安全性构成威胁,但是如果我们不进行选择,那么任何保护措施都胜过没有。

4.基于规则和基于例外的保护:

基于规则的保护能够为各种Web应用提供安全规则,WAF供应商将维护此规则库,并随时进行更新。根据这些规则,用户可以对应用程序进行全方位的检测。另一些产品则可以根据合法应用数据建立模型,并据此判断应用数据是否异常。但是这需要非常透彻地了解用户企业的应用程序才能做到,而实际上,这是非常困难的一件事。

5.状况管理:

WAF可以判断用户是否是第一次访问,并将请求重定向到默认的登录页面,记录事件。对用户的整个操作行为进行检测可以更容易地识别攻击。状态管理模式也可以检测到异常事件(如登陆失败),并在到达极限值后处理。这种情况有利于识别暴力袭击事件并作出反应。

6.其他保护措施:

WAF也有一些安全性增强,可用于解决WEB程序员对输入数据的过度信任所造成的问题。例如:隐藏表单域保护,防入侵规避技术,响应监控,信息泄漏等。

第六,WAF的限制:

waf的功能存在天然的缺陷,他只对request和response感兴趣,而对Web应用本身并不重视。此外,WAF对于注入类漏洞也没有什么用处,比如多阶注入。



/template/Home/Cong/PC/Static
注册即送1000元现金券