【网络安全】WAF概述及各项功能

WAF概述及各项功能

01.WAF的基本概念

四大基本作用

WEB安全

• WEB攻击防护
• 敏感信息防泄漏
• 网页防篡改

业务连续

• DDOS攻击防御
• 系统高可靠性

系统加速

• 高效安全系统NGTOS
• 精准归一化算法
• 服务器负载均衡

数据分析

• WEB漏洞扫描
• 双向参数自学习
• 完备报表

02.WAF概述及各项功能

WEB攻击防护

​ SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合， 通过执行SQL语句进而执行攻击者所要的操
作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。
​ 当应用程序使用输入内容来构造动态SQL语句以访问数据库时，会发生SQL注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串来传递，也会发生SQL注入。SQL注入可能导致攻击者使用应用程序登陆在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库，这种问题会变得很严重。而许多网站程序在编写时，没有对用户输入的合法性进行判断或者程序中本身的变量处理不当,使应用程序存在安全隐患。这样，用户就可以提交一段数据库查询的代码，根据程序返回的结果，获得一些敏感的信息或者控制整个服务器，于是SQL注入就发生了。

​ OS注入攻击即系统命令注入攻击(OS Command Injection), 系统提供命令执
行类函数主要方便处理相关应用场景的功能，而当不合理的使用这类函数，同时
调用的变量未考虑安全因素，就会执行恶意的命令调用，被攻击利用。
​ OS命令注入和SQL注入差不多，只不过SQL注入是针对数据库的，而OS命令注
入是针对操作系统的。OS命令注入即能够在服务器上执行任意命令。

​ XSS跨站脚本(Cross Site Scripting)通常简称XSS攻击，用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。

​ CSRF攻击即跨站脚本伪造(Cross-site request forgery)，也被称为"OneClick Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用，CSRF通过伪装来自受信任用户的请求来利用受信任的网站。CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范，所以被认为比XSS更具危险性。

​

​ 目录遍历攻击(directory traversal attack)通常利用了“服务器安全认证缺失”或者“用户提供输入的文件处理操作”, 使得服务器端文件操作接口执行了带有
"遍历父文件目录”意图的恶意输入字符。这种攻击的目的通常是利用服务器相关(存在安全漏洞的)应用服务，来恶意的获取服务器上本不可访问的文件访问权限。该攻击利用了程序自身安全的缺失(对于程序本身的意图而言是合法的)，因此存在目录遍历缺陷的程序往往本身没有什么逻辑缺陷。目录遍历攻击也被称为“./攻击” 、“目录爬寻”以及“回溯攻击”。甚至有些形式的目录遍历攻击是公认的标准化缺陷。

​ 盗链攻击是指服务提供商自己不提供服务的内容，通过技术手段绕过其它有利益的最终用户界面(如广告)，直接在自己的网站上向最终用户提供其它服务提供
商的服务内容，骗取最终用户的浏览和点击率。
​ 受益者不提供资源或提供很少的资源，而真正的服务提供商却得不到任何的收益。

​ 网页扫描通过扫描工具对网页进行扫描，发现网页存在的漏洞并进行攻击。WAF可以识别这种扫描行为并进行拦截，保护网站的安全。

敏感信息防泄漏

• 对于多用户申请的同一-服务器数据只做一次敏感信息泄露扫描，提高系统效率
• 敏感信息自定义
• 数字、关键字

网页防篡改

​ 网页篡改即通过恶意攻击的方式，篡改网页内容，实现特定的恶意目的。

​ 网页防篡改则是通过一些防篡改的技术防止网页内容被篡改。
网页防篡改分为硬件防篡改和软件防篡改2种：

​ 硬件防篡改即通过硬件设备(WAF) ，实现网页防篡改的功能。
​ 通常是硬件防篡改设备(WAF)通过FTP、文件共享等方式，抓取网页服务器的
网站目录。同时通过计算指纹(哈希等算法)生成指纹库，定时进行指纹比对，一旦文件被篡改，指纹发生改变，设备判定有篡改行为，立即执行还原文件的动
作，从而实现防篡改的功能。
​ 用户访问时实际访问的是WAF中缓存的网站目录，无法直接访问网页服务器，
此时的WAF相当于代理服务器。

​ 软件防篡改不同于硬件防篡改，无需硬件设备，只需要部署软件就可以实现。 软件防篡改通常需要部署Server端、Client端， Server端用于 提供防篡改服务，而Client端部署在需要保护的服务器中实现防篡改功能。

项目	硬件防篡改	软件防篡改
效率	要定时对比指纹库，无法做到实时防篡改。	可通过Client实时防窜。
消耗	抓取服务器数据需要同步整个目录，对网络带宽占用高，对设备CPU占用高。	通过Client检查是否被篡改，对网络带宽无影响。

DDOS防御

​ DDOS即分布式拒绝服务(Distributed Denial of Service)的英文缩写。
​ 指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。
​ 通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上， 在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许
多计算机上(通常是通过木马控制的计算机，也称为僵尸主机，分布在世界各地)代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

DDOS攻击

​ SYN/ACK Flood攻击:这种攻击方法是经典最有效的DDOS攻击方法，可通杀
各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度， 需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效， 并会出现系统凝固现象，即不响应键盘和鼠标。

​ TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，-般情况下，常规防火墙大多具备过滤TearDrop. Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序(如: lS、Apache等Web服务器)能接受的TCP连接数是有限的，- -旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此此种DDOS攻击方式容易被追踪。

DDOS防御

●专业4-7层DDOS防护
●扫描类攻击、畸形报文类攻击和特殊报文类攻击
●流量型攻击防护，如tcp. flood. udp. flood、icmp_ flood
●应用型攻击防护，如CC攻击、HTTP慢速攻击
●流量模型基线学习
●对真实网络中的用户流量进行周期性统计与分析
●自动形成流量模型，容忍度可配置

关键技术
基于源、目的限制
源信誉认证（重定向、验证码）
分层防御

WEB扫描

扫描器与WEB防护模块联动，形成安全闭环

• 扫描器模块扫描网站并生成报告
• 防护模块根据报告生成推荐防护策略
• 扫描器模块再次扫描网站验证策略有效性

特点

• 内置上百条扫描规则
  提供广度和、 深度扫描模式，按需扫描
  XML PDF等多种报表格式

• 实时统计

• 攻击定位

• 风险分析

• 定时邮件推送

03.WAF的部署

工个逻明模式的部署。
路由模式时，WAF相当于台路由器， 实现3层转发。
透明模式时，WAF相当于一 台交换机，实现2层转发。

WAF的组网结构

WAF部署在互联网出口

• 将WAF串行部署在互联网出口位置
• 优点:能够第一时间将攻击阻断在互联网边界，防护效果好。
• 缺点:办公流量、服务器流浪都经过WAF,压力较大，并且当WAF出现故障时，办公、服务器都会收到影响。

WAF部署在服务器区

• 将WAF旁路部署在服务器区位置，将需要保护的服务器的流量通过路由的方式指向WAF
• 优点:只有需要保护的服务器的流量才会经过WAF,压力最小;当WAF出现故障时对服务器和办公用户都没有影响。
• 缺点:只能对路由过来的服务器区提供保护。

项目	互联网出口	服务器区（串行）	服务器区（旁路）
流量压力	压力大	压力小	压力最小
防护效果	所有流量都可以防护	只能对服务器提供防护	只能路由过来的服务器提供防护
设备故障产生的影响	对整个网络都有影响	只对服务器区有影响	对所有区域都没有影响