网络安全之WAF安全技术的浅析
(文章来源:百家号)
waf是英文web application firewall的缩写,中文意思是web应用防火墙,也称为网站应用级入侵防御系统。waf是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备。
waf需要部署在web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响web服务,所以ha功能、bypass功能都是必须的,而且还要与负载均衡、web cache等web服务器前的常见的产品协调部署。waf的主要技术是对入侵的检测能力,尤其是对web服务入侵的检测能力。常见的实现形式包括代理服务、特征识别、算法识别、模式匹配。
代理方式本身是一种安全网关,基于会话的双向代理,中断了用户与服务器的直接连接,适用于各种加密协议,这也是web的cache应用中最常用的技术。代理方式有效防止入侵者的直接进入,对ddos攻击可以抑制,对非预料的“特别”行为也有所抑制。
识别出入侵者是防护它的前提。特征就是攻击者的“指纹”,如缓冲区溢出时的shellcode,sql注入中常见的“真表达(1=1)”。应用信息没有“标准”,但每个软件、行为都有自己的特有属性,病毒与蠕虫的识别就采用此方式,麻烦的就是每种攻击都自己的特征,数量比较庞大,多了也容易相象,误报的可能性也大。虽然目前恶意代码的特征指数型地增长,安全界声言要淘汰此项技术,但目前应用层的识别还没有特别好的方式。
特征识别有缺点,人们在寻求新的方式。对攻击类型进行归类,相同类的特征进行模式化,不再是单个特征的比较,算法识别有些类似模式识别,但对攻击方式依赖性很强,如sql注入、ddos、xss等都开发了相应的识别算法。算法识别是进行语义理解,而不是靠“长相”识别。ids中“古老”的技术,把攻击行为归纳成一定模式,匹配后能确定是入侵行为。协议模式是其中简单的,是按标准协议的规程来定义模式,行为模式就复杂一些。
waf最大的挑战是识别率,这并不是一个容易测量的指标,因为漏网进去的入侵者,并非都大肆张扬,比如给网页挂马,很难察觉进来的是哪一个,不知道当然也无法统计。对于已知的攻击方式,可以谈识别率;对未知的攻击方式,你也只好等他自己“跳”出来才知道。
waf从形态上可分为硬件waf、waf防护软件和云waf。硬件waf,通常串行部署在web服务器前端,用于检测、阻断异常流量。通过代理技术代理来自外部的流量,并对请求包进行解析,通过安全规则库的攻击规则进行匹配,如成功匹配规则库中的规则,则识别为异常并进行请求阻断。
软件waf,通常部署在需要防护的服务器上,通过监听端口或以web容器扩展方式进行请求检测和阻断。
云waf,也称web应用防火墙的云模式,这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实现方式是利用dns技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否则将请求转发至真实服务器。
有载调压变压器调压操作有什么规定及操作注意
蒸汽拖把好用吗?都市精致生活首选!
无线射频技术植入火车票 以提高防伪和自动售检功能
英特尔第十代处理器已经推出了新产品
深圳国际全触与显示展是触控行业的晴雨表
网络安全之WAF安全技术的浅析
静电的危害及控制措施有哪些
仅售12万2.0T四驱SUV还带全景天窗,有望赶超哈佛H6
什么是绝对值编码器?特性有哪些?怎样安装编码器呢?
珠海越亚封装在全球手机射频芯片封装基板市场占有率居前三位 打破国外IC封装厂商垄断市场的局面
亚马逊计划自己生产氢气为汽车提供动力
驱动工业机器人系统集成市场规模快速增长的因素是什么?
联发科蓄势待发,最新发布基于7nm制程的5G芯片
回顾龙梦竹出席“未来产业高峰论坛”圆桌对话内容
MT/MPO光纤连接器的开发以及性能介绍
华为云云耀云服务器 L 实例:打造企业级高效稳定的基础云服务架构
基于PIC18F8680单片机和CAN总线实现墨斗控制系统的设计
单样本微调给ChatGLM2注入知识
详解PLC和MCU单片机的区别
电咖首款高端车型ME7正式开启预订 定位为纯电动中型SUV
waf是英文web application firewall的缩写,中文意思是web应用防火墙,也称为网站应用级入侵防御系统。waf是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备。
waf需要部署在web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响web服务,所以ha功能、bypass功能都是必须的,而且还要与负载均衡、web cache等web服务器前的常见的产品协调部署。waf的主要技术是对入侵的检测能力,尤其是对web服务入侵的检测能力。常见的实现形式包括代理服务、特征识别、算法识别、模式匹配。
代理方式本身是一种安全网关,基于会话的双向代理,中断了用户与服务器的直接连接,适用于各种加密协议,这也是web的cache应用中最常用的技术。代理方式有效防止入侵者的直接进入,对ddos攻击可以抑制,对非预料的“特别”行为也有所抑制。
识别出入侵者是防护它的前提。特征就是攻击者的“指纹”,如缓冲区溢出时的shellcode,sql注入中常见的“真表达(1=1)”。应用信息没有“标准”,但每个软件、行为都有自己的特有属性,病毒与蠕虫的识别就采用此方式,麻烦的就是每种攻击都自己的特征,数量比较庞大,多了也容易相象,误报的可能性也大。虽然目前恶意代码的特征指数型地增长,安全界声言要淘汰此项技术,但目前应用层的识别还没有特别好的方式。
特征识别有缺点,人们在寻求新的方式。对攻击类型进行归类,相同类的特征进行模式化,不再是单个特征的比较,算法识别有些类似模式识别,但对攻击方式依赖性很强,如sql注入、ddos、xss等都开发了相应的识别算法。算法识别是进行语义理解,而不是靠“长相”识别。ids中“古老”的技术,把攻击行为归纳成一定模式,匹配后能确定是入侵行为。协议模式是其中简单的,是按标准协议的规程来定义模式,行为模式就复杂一些。
waf最大的挑战是识别率,这并不是一个容易测量的指标,因为漏网进去的入侵者,并非都大肆张扬,比如给网页挂马,很难察觉进来的是哪一个,不知道当然也无法统计。对于已知的攻击方式,可以谈识别率;对未知的攻击方式,你也只好等他自己“跳”出来才知道。
waf从形态上可分为硬件waf、waf防护软件和云waf。硬件waf,通常串行部署在web服务器前端,用于检测、阻断异常流量。通过代理技术代理来自外部的流量,并对请求包进行解析,通过安全规则库的攻击规则进行匹配,如成功匹配规则库中的规则,则识别为异常并进行请求阻断。
软件waf,通常部署在需要防护的服务器上,通过监听端口或以web容器扩展方式进行请求检测和阻断。
云waf,也称web应用防火墙的云模式,这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实现方式是利用dns技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否则将请求转发至真实服务器。
有载调压变压器调压操作有什么规定及操作注意
蒸汽拖把好用吗?都市精致生活首选!
无线射频技术植入火车票 以提高防伪和自动售检功能
英特尔第十代处理器已经推出了新产品
深圳国际全触与显示展是触控行业的晴雨表
网络安全之WAF安全技术的浅析
静电的危害及控制措施有哪些
仅售12万2.0T四驱SUV还带全景天窗,有望赶超哈佛H6
什么是绝对值编码器?特性有哪些?怎样安装编码器呢?
珠海越亚封装在全球手机射频芯片封装基板市场占有率居前三位 打破国外IC封装厂商垄断市场的局面
亚马逊计划自己生产氢气为汽车提供动力
驱动工业机器人系统集成市场规模快速增长的因素是什么?
联发科蓄势待发,最新发布基于7nm制程的5G芯片
回顾龙梦竹出席“未来产业高峰论坛”圆桌对话内容
MT/MPO光纤连接器的开发以及性能介绍
华为云云耀云服务器 L 实例:打造企业级高效稳定的基础云服务架构
基于PIC18F8680单片机和CAN总线实现墨斗控制系统的设计
单样本微调给ChatGLM2注入知识
详解PLC和MCU单片机的区别
电咖首款高端车型ME7正式开启预订 定位为纯电动中型SUV