WAF产品学习报告

 

• WAF是什么

WAF全称叫Web Application Firewall，和传统防火墙的区别是，它是工作在应用层的防火墙，主要对web请求/响应进行防护。

Web应用防火墙可以防止Web应用免受各种常见攻击，比如SQL注入，跨站脚本漏洞（XSS）等。WAF也能够监测并过滤掉某些可能让应用遭受DOS（拒绝服务）攻击的流量。WAF会在HTTP流量抵达应用服务器之前检测可疑访问，同时，它们也能防止从Web应用获取某些未经授权的数据。

 

• WAF部署方式

WAF可以按照下面几种方式进行部署：

 

• 透明代理模式

 

WAF代理了WEB客户端和服务器之间的会话，并对客户端和server端都透明。从WEB客户端的角度看，WEB客户端仍然是直接访问服务器，感知不到WAF的存在。

 

这种部署模式的优点是对网络的改动最小，通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量，只是WAF自身功能失效。

 

缺点是网络的所有流量都经过WAF，对WAF的处理性能要求高。采用该工作模式无法实现负载均衡功能。

 

• 反向代理模式

 

反向代理模式是指将真实服务器的地址映射到反向代理服务器上，此时代理服务器对外就表现为一个真实服务器。当代理服务器收到HTTP的请求报文后，将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备，由WAF设备再将应答发送给客户端。

 

这种部署模式需要对网络进行改动，配置相对复杂，除了要配置WAF设备自身的地址和路由外，还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。

 

优点则是可以在WAF上实现负载均衡。

 

• 路由代理模式

 

它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此需要为WAF的转发接口配置IP地址以及路由。

 

这种部署模式需要对网络进行简单改动，要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时，可以直接作为WEB服务器的网关，但是存在单点故障问题，同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。

 

• WAF安全模式

WAF可以采用白名单和黑名单两种安全模式，也可以两者相结合。

 

在白名单安全模式下，所有不在名单中的请求类型都会被拒绝；而黑名单正好相反，只会拒绝在黑名单上的请求类型，其它通通放行。

 

对于新的、还不为开发人员所知晓的攻击类型，白名单可以很好地工作。

 

黑名单相对来说更容易实现，但问题是维护成本高，因为很多时候我们并不能够枚举所有的攻击类型。

 

• Web攻击类型

Web攻击类型是指利用Web应用存在的漏洞或者缺陷，对Web应用或者其背后的服务器、数据库等进行非法访问或者破坏的行为。Web攻击类型有很多种，其中一些比较常见和危险的如下：

1）注入

 

攻击者把包含一段指令的数据发给应用，应用会当做指令执行。比如上面提到的SQL注入。

 

2）失效的身份认证和会话管理

 

应用程序没有能够提供正确的身份认证和会话管理功能，导致攻击者可以冒充他人身份。

 

3）跨站XSS

 

攻击者通过往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入Web页面里的Script代码会被执行，从而达到恶意攻击用户的目的。

 

4）不安全的对象直接引用

 

一个已经授权的用户通过更改访问时的一个参数，从而访问到原本其并没有得到授权的对象。比如修改URI里的购物车id参数访问他人的购物车。

 

5）伪造跨站请求（CSRF）

 

攻击者盗用了用户的身份，以合法用户的名义发送恶意请求。对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以用户的名义发送邮件、发消息。

 

假设站点A为存在CSRF漏洞的网站，站点B为攻击者构建的恶意网站，CSRF攻击示例如下：

 

• 用户打开浏览器，访问站点A，输入用户名和密码登录A。
• 登录成功后，站点A产生Cookie信息并返回给浏览器。
• 与此同时，用户在同一浏览器中，打开一个TAB页访问站点B。
• 站点B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问站点A。
• 浏览器在接收到这些攻击性代码后，根据站点B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。站点A并不知道该请求其实是由B发起的，所以会根据用户的Cookie信息处理该请求，导致来自站点B的恶意代码被执行。
• 检测CSRF漏洞是一项比较繁琐的工作，最简单的方法就是抓取一个正常请求的数据包，去掉Referer字段后再重新提交，如果该提交还有效，那么基本上可以确定存在CSRF漏洞。

 

6）安全配置问题

 

Web应用所在的服务器、平台、数据库、各种管理工具的配置或者账密泄露，导致相应设施暴露出安全风险。

 

7）限制URL访问失败

 

系统虽然明明对url的访问做了权限限制，但这种限制并没有生效。比如系统没有对用户的角色做检查，用户通过修改url能访问到其他用户或者管理员账户才能访问的url。

 

8）未验证的重定向和转发

 

重定向（Redirect）。浏览器向服务器发送请求，服务器响应状态码302和新的location，浏览器发现状态码是302，会再向location发起一次http请求。所以浏览器发起了两次http请求，而且地址栏最后看到的也是新的location对应的url。

转发（forward）。浏览器向服务器发送请求，服务器在内部完成转发路径的资源请求，并将请求结果返回给浏览器。浏览器只发起了一次http请求，而且地址栏看到的url地址没有改变。

对于重定向和转发来说，目的url请求中一般会带有参数，如果这些url参数未做验证，那么就很容易被攻击者利用。

 

9）使用已经被发现存在漏洞的组件

 

Web应用使用带有已知漏洞的组件，比如库文件、框架或者其它软件模块，可能会导致严重的安全问题。比如数据泄露、服务器被黑客接管等。

 

10）敏感信息暴露

 

用户敏感信息比如信用卡号、手机号、身份证号等数据，一旦被攻击者窃取或者篡改，会造成非常严重的后果。敏感数据需要特殊的保护，比如存储和传输过程中加密，以及在和浏览器进行交互时进行特殊的预防措施。

 

WAF以OWASP提出的各种安全隐患作为具体实施时需要考虑的准则。上面提到的这些安全问题，都在WAF的防范范围之内。

 

WAF测试：针对WAF实施的测试需要一个严格的流程。我们需要知道WAF能够有效防止哪些真实的攻击，漏掉了哪些真实的攻击。同时，我们还需要知道哪些有效的访问也被拦截了。

 

在针对部署了WAF的Web应用做测试时，最好使用WAF测试框架，并根据下面的步骤来测试：

 

1．测试在没有部署WAF情况下web应用的表现。

2．看看在WAF启用默认配置的情况下，攻击能否成功。

3．修改WAF的配置，看一下能否拦截上面的攻击。

4．WAF测试工具不但需要能够触发各种攻击，而且能够产生合法的请求，这样才能检测WAF在预防攻击的情况下能够让合法请求顺利通行。

 

• WAF和DDos

DDos的全称是Distributed Denial of service。主要依靠一组计算机来发起对一个单一的目标系统的请求，从而造成目标系统资源耗尽而拒绝正常的请求。

 

根据OSI的7层网络模型，网络可以从上到下分为：

 

第七层：应用层，SMTP，HTTP，DNS等各种协议。

第六层：表示层，信息的语法语义以及他们的关联，如加密解密，压缩解压缩。

第五层：会话层，建立和维持连接，。

第四层：传输层，TCP，UDP。

第三层：网络层，IP和路由。

第二层：数据链路层，MAC地址。

第一层：物理层，基于光纤的信号。

 

根据OSI网络模型，最常见的DDos有三类，第三层（网络层）DDos、第四层（传输层）DDos和第七层（应用层）DDos。

 

第三层DDOs，基于IP的攻击。IP数据包在网络传递时，数据包可以分成更小的片段。到达目的地后再进行合并重装。在实现分段重新组装的进程中存在漏洞，缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击服务器，进而引起服务器内核崩溃。

第四层DDos，基于TCP的攻击。SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)，而SYN Flood拒绝服务攻击就是通过三次握手而实现的。TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。

第七层DDos，基于应用层的攻击。基于应用层的DDos攻击会更复杂，处理起来更棘手。这类攻击往往会模仿用户和Web应用之间的交互行为，增加判断的难度。

WAF主要处理第七层DDos攻击，它在处理第七层DDos攻击时会比其它防护手段更高效一些。WAF会对HTTP流量做详细的分析，这样WAF就能针对正常的访问请求进行建模，然后使用这些模型来区分正常的请求和攻击者使用机器人或者脚本触发的请求。

 

• WAF和传统防火墙的区别

传统防火墙主要用来保护服务器之间传输的信息，而WAF则主要针对Web应用程序。网络防火墙和WAF工作在OSI7层网络模型的不同层，相互之间互补，往往能搭配使用。

 

网络防火墙工作在网络层和传输层，它们没有办法理解HTTP数据内容，而这个正式WAF所擅长的。网络防火墙一般只能决定用来响应HTTP请求的服务器端口是开还是关，没办法实施更高级的、和数据内容相关的安全防护。

 

 

• Web应用防火墙的演变历程及未来

 

Web应用防火墙的演变历程可以概括为以下几个阶段：

 

初级阶段：早期的Web应用防火墙主要关注基础的访问控制和过滤功能，通过对HTTP请求进行简单的规则匹配来阻止一些常见的攻击。

 

发展阶段：随着Web攻击手段的不断升级，Web应用防火墙开始引入更多的安全技术和功能，如协议分析、行为分析、深度包检测等，以提高对复杂攻击的防御能力。

 

智能化阶段：近年来，随着人工智能和机器学习技术的发展，Web应用防火墙开始具备智能识别和自适应防护能力。通过机器学习和大数据分析，WAF能够自动学习和识别新的攻击模式，并实时调整防护策略，提高防御的精准性和效率。

 

未来，Web应用防火墙将继续向以下几个方向发展：

 

更加智能化的安全防护：随着人工智能技术的不断发展，Web应用防火墙将能够更准确地识别和防御新型攻击，甚至能够预测和防范潜在的安全威胁。

 

更加精细化的策略控制：未来的Web应用防火墙将提供更加细粒度的策略控制功能，用户可以根据不同的应用场景和业务需求，灵活配置安全策略，实现更加精准的安全防护。

 

与其他安全产品的融合与协同：随着企业安全需求的不断提升，Web应用防火墙将与其他安全产品（如入侵检测系统、安全事件管理系统等）进行更加紧密的集成和协同工作，共同构建更加完善的安全防护体系。

 

• 总结

Web应用防火墙作为保护Web应用安全的重要工具，在网络安全领域发挥着不可替代的作用。随着技术的不断进步和市场的不断扩大，Web应用防火墙将继续创新与发展，为企业提供更加全面、高效、智能化的安全防护解决方案。

 

当前，头部厂商的Web应用防火墙产品已经具备了较高的技术水平和安全防护能力，但仍面临着一些挑战和机遇。未来，这些厂商将需要继续加大研发投入，不断提升产品的性能和功能，以满足不断变化的安全需求。

 

同时，随着云计算、大数据、人工智能等技术的快速发展，Web应用防火墙也将迎来更多的发展机遇。通过与其他技术的深度融合和创新应用，Web应用防火墙将能够更好地应对新型攻击手段和安全威胁，为企业提供更加坚实的安全保障。

 

总之，Web应用防火墙作为网络安全领域的重要组成部分，其发展前景广阔且充满挑战。我们有理由相信，在未来的发展中，Web应用防火墙将不断突破技术瓶颈和市场限制，为企业的数字化转型和网络安全保障提供更加坚实的支撑。