2024-01-03 分类: 网站建设
WAF是什么?WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
WAF常见的部署方式:WAF关键技术 WAF的透明代理技术原理:图:WAF透明代理技术原理透明代理技术基于TCP连接,网络协议栈应用层的代理技术,实现与客户端以及服务器双向独立的TCP连接建立,隔绝客户端和服务器的直接TCP连接建立。通讯过程如下:
图:WAF通信过程WAF主要会更改如下数据包内容项:
客户端TCP源端口 客户端源MAC/服务器源MAC地址 长短连接协议版本 MIME类型 Web应用安全防护策略:基于WEB攻击特征库的正则表达式的匹配方式;策略规则组织成规则链表的方式,深度检查请求头部、请求提交内容,响应头部,响应内容体等内容进行逐条匹配检查。
主要可以防止以下攻击:
HTTP协议合规性 SQL注入阻断 跨站点脚本/CSRF攻击防护 表单/cookie篡改防护 DoS攻击防护 敏感信息泄漏 目录遍历 防扫描器探测攻击 Web应用安全审计:WAF可以审计所有用户访问行为,通过对访问记录的深度分析,可以发掘出一些潜在的威胁情况,对于攻击防护遗漏的请求,仍然可以起到追根索源的目的。
防CC:CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。
防止CC攻击的原理:
可定义多条DOS策略 可支持多个URL匹配算法 可支持应用层IP匹配算法 Web应交交付:“应用交付”,实际上就是指应用交付网络(Application Delivery Networking,简称ADN),它利用相应的网络优化/加速设备,确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。
从定义中可以看出应用交付的宗旨是保证企业关键业务的可靠性、可用性与安全性。应用交付应是多种技术的殊途同归,比如广域网加速、负载均衡、Web应用防火墙…针对不同的应用需求有不同的产品依托和侧重。
WAF一般可做的应用交付主要是通过:
web加速与数据压缩 优化服务器性能。 WAF的多种部署模式WAF一般支持透明代理,反向代理,旁路监控,桥模式部署模式。
透明代理串接模式:图:WAF部署场景-透明代理串接模式透明代理部署模式支持透明串接部署方式。串接在用户网络中,可实现即插即用,无需用户更改网络设备与服务器配置。部署简单易用,应用于大部分用户网络中。
部署特点:
不需要改变用户网络结构,对于用户而言是透明的 安全防护性能强 故障恢复快,可支持Bypass透明代理串接模式是采用最多的部署模式,防御效果好。
反向代理模式:反向代理又分为两种模式,反向代理(代理模式)与反向代理(牵引模式)。
代理模式:图:WAF部署场景-反向代理(代理模式)WAF采用反向代理模式以旁路的方式接入到网络环境中,需要更改网络防火墙的目的映射表,网络防火墙映射WAF的业务口地址,将服务器的IP地址进行隐藏。
即在图中,当外网去访问www.test.com时,会解析到110.1.1.1。在网络防火墙FW上,会通过nat-server技术,将110.1.1.1外网地址解析为192.168.1.1的内网地址。而192.168.1.1为WAF的业务口地址,WAF会去访问后端服务器192.168.1.100,将包返回给WAF,WAF再返回给用户,起到了代理作用,隐藏了真正的Web服务器地址。
部署特点:
可旁路部署,对于用户网络不透明,防护能力强 故障恢复时间慢,不支持Bypass,恢复时需要重新将域名或地址映射到原服务器。 此模式应用于复杂环境中,如设备无法直接串接的环境。 访问时需要先访问WAF配置的业务口地址。 支持VRRP主备 牵引模式:图:WAF部署场景-反向代理(牵引模式)WAF采用反向代理模式以旁路的方式接入到网络环境中,需要在核心交换机上做策略路由PBR,将客户端访问服务器的流量牵引到WAF上,策略路由的下一跳地址为WAF的业务口地址。
部署特点:
可旁路部署,对于用户网络不透明。 故障恢复时间慢,不支持Bypass,恢复时需要删除路由器策略路由配置。 此模式应用于复杂环境中,如设备无法直接串接的环境。 访问时仍访问网站服务器 旁路监控模式:图:WAF部署场景-旁路监控模式采用旁路监听模式,在交换机做服务器端口镜像,将流量复制一份到WAF上,部署时不影响在线业务。在旁路模式下WAF只会进行告警而不阻断。
透明桥模式:图:WAF部署场景-透明桥模式透明桥模式是真正意义上的纯透明,不会改变更改数据包任何内容,比如源端口、TCP序列号,桥模式不跟踪TCP会话,可支持路由不对称环境。
WAF可靠性部署-透明代理下的HA主备模式:图:WAF部署场景-透明代理下的HA主备模式双机HA模式下,WAF工作于Active,Standby的模式,即其中一台WAF处于检测防护模式时,另一台为备用,不进行工作。当主WAF出现故障,或者与主WAF连接的上下行链路出现故障时,备用的WAF将协商进入检测防护模式。
流量的切换:根据流量来进行判断,从哪边来的流量走哪边。 当两边同时有流量的时候,需要使用主主模式,不需要心跳线。 WAF可靠性部署-反向代理下的HA主备模式:图:WAF部署场景-反向代理下的HA主备模式WAF在反向代理下通过VRRP协议来协商主备关系,正常情况下只有主机工作,备机不工作,当WAF主机出现问题时,备机自动切换为主机进行工作。
分享标题:云计算服务器-WAF与传统网络设备的区别
当前路径:/news19/311719.html
成都网站建设公司_创新互联,为您提供手机网站建设、静态网站、外贸建站、App设计、做网站、营销型网站建设
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联
猜你还喜欢下面的内容