CDN加速

技术博客 > 正文

什么是WAF\Web应用防火墙?

2020-12-08

什么是Web应用防火墙?

Web应用程序防火墙(简称WAF)是通过设置一定的防御策略,让Web服务器仅接收合法的请求流量,来保护Web应用程序免受各种类型的攻击的网络安全产品。

防火墙用于监视和控制流经网络的流量,充当了企业内网和公共互联网之间的屏障。Web应用程序防火墙则是一种特定类型的防火墙,作用于流入和流出Web应用程序的流量。标准防火墙通常作为第一道防线,但是随着当今网站和网络服务对安全性需求的提升,已渐渐不能满足需求。基于此,WAF提供了更多专用性的功能,来阻止针对应用程序本身的攻击。

Web应用防火墙(WAF)的工作原理

WAF通过过滤、监视和阻止在Web应用程序与Internet之间的可疑HTTP / HTTPS 通信来保护Web应用程序。

在过去一段时间,安装传统防火墙已经成为一项网络安全惯例。这类防火墙部署在网络周围,并作用在OSI模型的第3层到第4层,因此它们的角色仅限于检测IP和TCP / UDP协议上的数据包,并根据IP地址、协议类型、端口号进行流量过滤。

而WAF作用于OSI模型的第7层(L7),可以解析Web应用程序协议,这个特性使得WAF可以对往返于Web应用程序的流量进行分析、并阻断那些传统网络防火墙无法检测到的攻击类型。

WAF充当了应用程序和Internet之间的反向代理保护盾。代理服务器是保护客户端的中介,相反地,反向代理则可确保客户端请求在到达服务器之前先通过它。更重要的是,WAF还可用于保护部署在其后方的各种应用程序。

WAF使用一组称为策略的规则来过滤掉恶意流量,防止其利用应用程序漏洞来进行攻击。这些安全策略通常基于已知的Web攻击特征,包括诸如HTTP标头、HTTP请求正文和HTTP响应正文之类的扫描点,还可以通过设置特定的策略来检测URL或文件扩展名来限制URI、标头和正文长度,或者通过签名和行为来检测SQL / XSS注入、网络爬虫。

使用WAF的一个核心优势是,可以轻松快速地修改和部署防护策略。部分WAF服务商还提供负载均衡、SSL卸载和基于机器学习的智能自动化策略修改,这使得在遭遇各种攻击类型、分布式拒绝服务(DDoS)时防护和响应保护变得更加容易。

WAF本身无法防御所有攻击,但是它可以极大地增强Web应用程序的安全性,尤其在抵御以下常见攻击时效果明显:

跨站请求伪造

跨站伪造攻击利用经过身份验证的合法用户身份,来执行危害应用程序安全性的行为。通常,攻击者通过电子邮件向用户发送链接,从而诱骗用户点击链接。一旦完成用户身份验证和登录,就可以强制用户执行请求,例如转账资金或更改其个人资料详细信息和电子邮件地址。如果攻击目标是管理员帐户并执行成功,则可能会危及整个Web应用程序。

跨站脚本

跨站脚本攻击是指攻击者将恶意代码注入客户端的浏览器中,以达到窃取用户会话cookie数据或修改页面内容的目的。这类攻击通常发生在提供动态网站的Web应用系统中,攻击者通过向包含JavaScript,PHP和.NET等脚本的动态网站注入恶意代码,当用户加载网页时,攻击者的恶意脚本将被执行。例如,用户的cookie可能会发送给攻击者,攻击者可以使用它进行模拟。

SQL注入

SQL注入攻击利用Web应用程序对涉及数据库操作的输入数据过滤不严的漏洞,将恶意SQL命令注入具有用户输入数据字段(例如网站联系表单)的网站和应用程序中。被注入的代码可以获取对数据库的未授权访问,并运行命令以窃取或修改数据库中的私有信息。

WAF有哪些不同的类型?

WAF通过一定的规则设置,来拦截符合预设条件的攻击请求、并放行正常的访问流量,以此来保护Web应用程序的安全。其对跨站伪造、跨站脚本、SQL注入和文件包含等攻击的有效防护,能阻止攻击者对应用程序的未授权访问、窃取敏感数据或损害应用程序本身。

根据WAF的部署实现方式,可以分为以下三种类型:

基于网络的WAF(硬件WAF)

这类WAF通常以独立硬件设备的形态存在,并且在本地安装。由于部署在靠近服务器的位置,因此更易于访问。与基于硬件的部署一样,它们有助于最大程度地减少延迟,但存储和维护成本很高。

基于主机的WAF(软件WAF)

基于主机的WAF是完全集成到应用程序软件中的,它作为模块存在于应用程序服务器中。这种WAF的价格比基于网络的WAF便宜,并且可定制性更高。缺点是,它们可能会耗尽本地服务器资源并影响应用程序的性能,部署和维护也会更加复杂。

云WAF

基于云的WAF更经济实惠,并且需要更少的本地资源来进行管理。云WAF更易于部署,通常以SaaS化交付,供应商提供整套安装,操作就像更换DNS重定向Web流量一样简单。由于采用了云服务模式,所需要的前期投入成本也极低,并且可以通过不断的更新、升级来抵御最新的攻击威胁。

CDN服务有哪些特点

以网宿web应用防火墙(云WAF)为例,无须改造,一键接入,就可享受7*24小时的安全服务,节省运维部署成本。通过在全球防护节点上部署和执行安全策略,网宿云WAF实时阻止Web应用程序攻击;智能规则引擎防护已知攻击,AI机器学习引擎防护新型攻击,让防护无死角。此外,基于全球海量资源,可按需弹性伸缩;全球负载避免单点故障,保障网站运营高可靠。