信息安全技术与应用（高学勤）课件 4.5 Web应用防火墙

第5节Web应用防火墙第4章目

录01Web应用防火墙简介02Web应用防火墙的功能03Web应用防火墙部署及应用01Web应用防火墙简介Web应用防火墙的概念Web应用防火墙（WebApplicationFirewall），简称：WAF。根据Gartner定义：什么是Web应用防火墙？WAF是一种以保护Web应用程序和API服务免受各种攻击（包括自动化攻击（bot）、应用层拒绝服务（httpflood）和常见Web安全漏洞攻击等）为主要目标的软硬件系统。WAF一般提供基于规则的保护，也提供可靠的安全模型或异常检测功能。Web应用防火墙的工作过程WAF的工作过程解析HTTP请求（攻击请求、业务请求）….….….进行规则检测（恶意访问过滤）做不同的防御动作（拦截、放行、记录）将防御过程记录下来（日志）Web应用防火墙的实现原理WAF通过5个模块来实现防护功能配置模块协议解析模块规则模块动作模块日志模块Web应用防火墙的实现原理配置模块WAF引擎设置协议解析配置规则配置是否开启WAF：开启、关闭、仅记录拦截方式：允许访问、拒绝访问、关闭链接、继续处理部署方式：透明桥接、反向代理、透明代理、路由模式、检测端口请求内容：请求体、响应体类型支持的协议组成：请求头、请求体、响应头、响应体协议大小限制HTTP格式：协议版本、Cookie格式、参数内置规则：启用、停用规则自定义规则：不同HTTP请求类型，不同拦截方式，URI、POST、COOKIE，特征关键词规则模板设置：内置模板、自定义模板Web应用防火墙的实现原理协议解析模块协议解析配置1解析错误处理2协议解析3请求体处理响应体处理文件上传处理解析错误处理协议内容限制协议编码配置Multipart解析错误X-www-form-urlencode解析错误响应体解析错误请求头解析请求体解析响应头解析响应体解析Web应用防火墙的实现原理规则模块规则配置规则解析规则检测规则信息：ID、规则名称、规则描述、拦截方式、告警等级、攻击类别、启用状态、更新时间规则模板变量部分：请求变量、响应变量、客户端变量、Server变量、时间变量、事务变量、其他操作符部分事物函数部分动作部分操作符函数库事务函数库检测控制流Web应用防火墙的实现原理字符操作模式匹配、字符串操作校验URL编码、utf8校验、xml校验、JSON校验、字节校验数字操作IP库校验攻击IP库规则模块-规则检测操作符函数库1事务函数库2检测控制流302Web应用防火墙的实现原理动作模块01030405通过后续请求全部通过继续继续执行下一个规则拦截拦截本次http请求、断开连接、封IP、禁止对URI访问0607重定向重定向到honepot中主动防御响应体页面注入防御代码验证码验证通过后才能继续访问只记录只记录本次命中规则的细节‍‍主要功能进行日志记录（用户访问日志、攻击日志）提供日志分析与攻击溯源Web应用防火墙的实现原理日志模块02Web应用防火墙的功能Web应用防火墙的基本功能1.漏洞扫描2.Web业务可用性监测3.外联监控4.Web应用防护6.混合型攻击防护7.恶意扫描防护8.DDOS/CC攻击防护9.策略分组5.专业网页防篡改10.高可用性11.服务器信息隐藏12.敏感信息过滤13.Web云加速14.软硬件BTPASS功能15.动态建模Web应用防火墙的基本功能扫描的项目包括无效链接代码泄露目录遍历入侵广告目录浏览邮箱地址泄露典型登录页面内部IP泄露内部目录泄露内部文件泄露SQL注入漏洞XSS脚本漏洞Web后门网页挂马程序错误信息扫描过程功能·漏洞扫描扫描结果扫描报告可靠的数据支撑生成提供Web应用防火墙的基本功能功能·Web业务可用性监测对网页主页和指定页面进行页面级可用性监测。确保Web业务系统的连续运营和服务的正常提供。监测的过程根据配置的检测任务网站服务的可用性质量目标的URL请求执行时间耗时结束时间状态正常与否检测指定的web应用页面测试监控HTTP/HTTPS流量，对数据包内容具有完全的访问控制权限。检查所有流经网络的HTTP/HTTPSl流量，通过各类防护引擎，策略控制识别黑Web攻击应用行为。系统监控画面Web应用防火墙的基本功能功能·Web应用攻击防护SQL注入攻击XSS跨站攻击CSRF跨站请求伪造攻击木马病毒恶意爬虫盗链请求Web应用防火墙的基本功能实现的过程SQL语句SQL注入特点SQL语法结构根据SQL注入符合正常SQL语句不符合功能·Web应用攻击防护·SQL注入防护分析通过人工智能的方式识别“注入攻击”使用的SQL语句。大幅度提高对SQL注入攻击的识别率和准确率。实现低漏报率，抗攻击逃逸。可防御未知的SQL注入。Web应用防火墙的基本功能爬虫分为搜索引擎爬虫和扫描程序爬虫。屏蔽特定的搜索引擎爬虫。屏蔽扫描程序爬虫。节省带宽和性能。避免网站被恶意抓取页面。基于关联分析技术进行有效识别和阻断告警。功能·Web应用攻击防护·爬虫防护Web应用防火墙的基本功能屏蔽Web扫描器的检测功能·恶意扫描防护Web应用防火墙的基本功能Internet……网站服务器A网站服务器J网站服务器C网站服务器I网站服务器B网站服务器……云防线发起DDOS攻击流量引入云防线进行清洗流量预定阀值云防护模式有效分流和清洗动态防护机制DDOS/CC攻击达到切换进行WAF功能·DDOS/CC攻击联合防护在httpheader里看到服务器构建的信息，如：典型的响应消息：Web应用防火墙的基本功能功能·服务器信息隐藏在一些信息比如在404页面，会输出服务器版本和运行的程序版本。将服务器版本信息、服务信息和漏洞信息进行伪装和隐藏。避免将服务器系统上的服务器信息与web软件版本信息等一些关键信息透露给任何潜在的攻击者。Web应用防火墙的基本功能功能·敏感信息过滤12345动态获取各种网络资源。根据输入的搜索规则（关键词）组合对于发表的信息进行过滤与审核。及时、准确定位涉密或敏感信息资源。防止重要的信息泄露或非法言论通过网站进行传播。同时记录、跟踪敏感信息的传播行为，及时阻止、消灭此类信息的传播。Web应用防火墙的基本功能注：关于WAF配置操作步骤，请参阅第四章/配置WAF实现安全防护.mp4功能·动态建模03Web应用防火墙部署及应用Web应用防火墙的部署方式适用于需要在WAF上部署负载均衡的场景。反向代理模式下，路由器需要通过配置策略路由的方式，将被保护站点的流量先牵引到WAF设备（或WAF集群），WAF设备通过反向代理的方式，再将请求送至Web服务器。WAF防火墙Web服务器部署模式·反向代理模式Web应用防火墙的部署方式特点是即插即用，一般适用于需要紧急部署WAF进行防护的场景。透明模式下部署WAF，无需更改网络及服务器配置，透明串接在防火墙和Web服务器群之间，即可对Web服务器群的出入流量进行有效监控，从而确保Web应用的安全。WAF防火墙Web服务器部署模式·透明模式Web应用防火墙的部署方式WAF支持路由模式部署，它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此需要为WAF的转发接口配置IP地址以及路由。WAF防火墙Web服务器部署模式·路由模式当缺少Web服务器网关时，可进行路由模式部署。Web应用防火墙的部署方式WAF的混合部署模式，可把设备网口配置成反向代理模式和透明网桥模式共同工作，可提供多组透明桥。WAFWeb服务器2Web服务器1防火墙部署模式·混合模式适用于多个安全域的安全防护的场景。使用CC防护，实现基于session的，频率控制，对超过频率的请求，进行滑块验证使用BOT行为管理，通过对流量进行分析，识别爬虫和机器人行为，减少垃圾流量访问DNSCC防护BOT管理GAAPGAAP业务架构图Web应用防火墙的应用案例某游戏企业Web应用防火墙部署案例客户情况核心需求：防CC攻击防恶意账号减少或者减缓垃圾流量访问，节约服务器和带宽资源对高频访问行为进行限制和阻断结合天御方案，对恶意账号进行处理客户需求防护效果通过基于用户级别CC防护，对恶意刷资源消耗接口、营销接口的行为进行有效识别和拦截。本章对WAF进行了详细的分析，包括WAF的概念、WAF的实现原理，以及WAF的策略