WAF（Web 應(yīng)用程序防火墻）是應(yīng)用程序和互聯(lián)網(wǎng)流量之間的第一道防線，它監(jiān)視和過濾 Internet 流量以阻止不良流量和惡意請求，WAF 是確保 Web 服務(wù)的可用性和完整性的重要安全解決方案。

它通過充當(dāng)保護(hù) Web 應(yīng)用程序服務(wù)器免受惡意客戶端攻擊的中介來充當(dāng)反向代理。

本文將由火傘云小編為您簡要解答它的工作原理

WAF 用于阻止惡意攻擊的 8 種方法

1、IP 圍欄

這是最簡單的保護(hù)方法，如果您知道惡意請求來自特定 IP 地址，可以直接使用 WAF 黑名單來拒絕它們，它依賴于一組靜態(tài)信息。

例如：

火傘云WAF使用 HoneyPot Project 和 spamhaus DB 等信譽(yù)數(shù)據(jù)庫來識別某些 IP 并隨后阻止來自這些 IP 的請求。

2、地理圍欄和地理封鎖

地理圍欄是 WAF 用來在特定地理區(qū)域周圍創(chuàng)建虛擬周界或邊界的一種技術(shù)。當(dāng)用戶的 IP 地址位于預(yù)定義邊界內(nèi)時，WAF 可以允許或限制對某些內(nèi)容或功能的訪問。

火傘云WAF利用 MaxMind DB 等Geo IP 數(shù)據(jù)庫來允許或拒絕請求。

您還可以使用 WAF 創(chuàng)建地理阻止規(guī)則集，這是一種限制性更強(qiáng)的技術(shù)，可以完全阻止來自特定區(qū)域的訪問。

例如：

如果您的電子商務(wù)網(wǎng)站僅面向美國客戶，您可以使用此功能限制來自其他地區(qū)的訪問。

3、要求檢驗

檢驗是 WAF 對請求和響應(yīng)施加完全控制的策略的組成部分。通過檢驗請求的內(nèi)容，WAF 可以將它們與已知的好/壞字符串和值進(jìn)行匹配，以區(qū)分合法和惡意請求。

WAF使用多個過濾層分析流量，可以檢測零日攻擊、客戶端攻擊、機(jī)器人攻擊（例如 DDoS 攻擊）、病毒文件和Web應(yīng)用程序漏洞。

最先進(jìn)的WAF可以解碼和分析 HTTPS 流量、XML、JSON 和其他廣泛使用的數(shù)據(jù)傳輸格式。

常見的檢驗有以下兩種：

標(biāo)頭檢驗

通過檢查標(biāo)頭，WAF 可以檢測到可能指示惡意活動的特定模式或異常，例如格式錯誤的用戶代理或可疑的 cookie 值。

HTTP 請求的標(biāo)頭包含基本信息，例如用戶代理、內(nèi)容類型、cookie 和使用的 HTTP 方法（例如 GET、POST）。

每個都包含文本字符串，并具有廣泛的潛在組合。

因此，WAF 會單獨檢查每個請求標(biāo)頭以識別潛在的惡意值，而不是依賴于預(yù)定義的白名單。

例如：
GET /login HTTP/1.1

Host: example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36
Referer: http://evil.com
Cookie: PHPSESSID=abcdef1234567890; username=admin; password=admin123

在此示例中，請求包含指向惡意網(wǎng)站 (http://evil.com) 的 Referer 標(biāo)頭。Web 服務(wù)器使用 Referer 標(biāo)頭來跟蹤請求的來源。

通過包含惡意的 Referer 標(biāo)頭，攻擊者可以嘗試欺騙 Web 服務(wù)器，使其相信請求來自受信任的來源。

攻擊者還包含一個 Cookie 標(biāo)頭，其中包含會話 ID (PHPSESSID=abcdef1234567890) 以及管理員帳戶的用戶名和密碼（用戶名=admin；密碼=admin123）。

通過在 Cookie 標(biāo)頭中包含這些值，攻擊者可以嘗試獲得對 Web 應(yīng)用程序的未授權(quán)訪問。

通過檢查這些標(biāo)頭，WAF 可以檢測到惡意 Referer 標(biāo)頭和 Cookie 標(biāo)頭的可疑內(nèi)容。此外，它會阻止請求并阻止攻擊成功。

WAF 還分析瀏覽器發(fā)送的用戶代理字符串以獲取其他指標(biāo)，例如異常的瀏覽器設(shè)置和流量自動化的跡象。

請求驗證

WAF 進(jìn)一步檢查請求正文、查詢參數(shù)和請求的其他元素，以識別和阻止對 Web 應(yīng)用程序的潛在威脅。

WAF 檢驗有效負(fù)載中的每個數(shù)據(jù)字節(jié)，以確定可能指示針對漏洞的攻擊嘗試的特定字母數(shù)字字符組合。

例如：

假設(shè) Web 應(yīng)用程序具有搜索功能，允許用戶通過在搜索框中輸入關(guān)鍵字來搜索產(chǎn)品。

攻擊者可以通過提交包含 SQL 注入負(fù)載的特制輸入來利用此功能。

例如：‘a(chǎn)pple’ OR 1=1;– – 然后將作為以下 SQL 查詢執(zhí)行：
SELECT * FROM products WHERE name = 'apple' OR 1=1;--

此查詢旨在繞過身份驗證機(jī)制并從數(shù)據(jù)庫中檢索所有產(chǎn)品。

添加 OR 1=1 部分以使查詢始終返回 true，最后的 — 用于注釋掉查詢的其余部分并防止任何錯誤。

如果 WAF 僅依賴預(yù)定義的白名單，它可能無法檢測到此攻擊，因為查詢包含有效語法。

但是，通過單獨檢查每個請求并分析查詢的內(nèi)容，Web 應(yīng)用程序防火墻可以檢測 SQL 注入負(fù)載并阻止請求。

WAF 還會分析查詢并查找 SQL 注入攻擊中常用的關(guān)鍵字，

例如 OR、UNION、SELECT 和 DROP。如果檢測到這些關(guān)鍵字中的任何一個，WAF 可以阻止請求并阻止攻擊得逞。

WAF 的威脅檢測能力超越了 SQL 注入，涵蓋了其他頻繁發(fā)生的高風(fēng)險威脅，如 XSS 和 XXE。

4、響應(yīng)檢查

WAF 監(jiān)視和分析離開 Web 應(yīng)用程序的流量，以識別和阻止任何潛在的惡意或未經(jīng)授權(quán)的活動。

它驗證數(shù)據(jù)包的內(nèi)容以確保內(nèi)容類型與請求資源的預(yù)期內(nèi)容類型相匹配。

例如

如果客戶端請求圖像文件，WAF 可以驗證響應(yīng)是圖像文件，而不是可執(zhí)行文件或惡意內(nèi)容。

WAF 可以驗證 Web 應(yīng)用程序返回的響應(yīng)代碼是否有效且符合預(yù)期。

例如

如果 Web 應(yīng)用程序為應(yīng)該存在的資源返回 404 錯誤代碼（未找到頁面），則 WAF 可以識別這種潛在的攻擊。

Web 應(yīng)用程序防火墻能夠通過屏蔽或阻止包含敏感信息（如信用卡號或任何其他自定義數(shù)據(jù)）的響應(yīng)來防止數(shù)據(jù)泄漏。

例如：

一名員工試圖將包含敏感數(shù)據(jù)的文件上傳到外部文件共享網(wǎng)站。WAF 檢測數(shù)據(jù)傳輸嘗試并檢查文件是否包含不應(yīng)與外部共享的任何敏感信息。WAF 掃描文件以查找與組織的數(shù)據(jù)分類策略相匹配的模式或關(guān)鍵字。

如果文件包含敏感信息，WAF 會阻止上傳并向安全團(tuán)隊發(fā)送警報。然后，安全團(tuán)隊可以調(diào)查事件并采取適當(dāng)?shù)男袆樱绯蜂N員工的訪問權(quán)限或展開進(jìn)一步調(diào)查。

5、安全規(guī)則

收到請求后，WAF 會分析其有效負(fù)載并將其與其規(guī)則或簽名進(jìn)行比較。

WAF 通常有兩種類型的安全規(guī)則：預(yù)定義和自定義。

a、預(yù)定義規(guī)則

供應(yīng)商預(yù)先配置預(yù)定義規(guī)則，旨在防止常見攻擊，例如 SQL 注入、跨站點腳本 (XSS) 和其他已知漏洞。這些規(guī)則通常會定期更新以應(yīng)對新出現(xiàn)的威脅。

火傘云WAF檢查每個應(yīng)用程序區(qū)域并通過考慮 OWASP 前 10 大應(yīng)用程序和 API 漏洞以及已預(yù)編程到 WAF 中的其他攻擊向量來確定適用的威脅。

預(yù)定義的規(guī)則集包括防止：

SQL注入

XSS 攻擊

本地和遠(yuǎn)程文件包含

尺寸限制

命令注入

未知的錯誤輸入

惡意文件擴(kuò)展名（例如 .php、.exe）

目錄遍歷字符（例如，“..”）

命令注入負(fù)載

Java 反序列化負(fù)載

主機(jī)標(biāo)頭中的本地主機(jī)

PROPFIND HTTP 方法

Shell 元字符（例如 |、>、<、）

任意代碼執(zhí)行負(fù)載

LDAP 注入負(fù)載

XPath 注入負(fù)載

XML 外部實體 (XXE) 負(fù)載

以下是用于阻止 XSS 攻擊的 WAF 預(yù)定義規(guī)則示例：
SecRule ARGS "@rx [\s\S]*?" \
"id:1,\
phase:2,\
block,\
log,\
msg:'XSS Attack Detected',\
tag:'OWASP Top 10',\
severity:'CRITICAL'"

此規(guī)則檢查請求參數(shù) (ARGS) 中是否存在 標(biāo)記，該標(biāo)記常用于 XSS 攻擊。如果規(guī)則匹配，它會觸發(fā)一個動作來阻止請求（block），記錄事件（log），并向服務(wù)器操作員（msg）發(fā)送消息。

該規(guī)則還包含一個標(biāo)記，表明它解決了 OWASP 十大漏洞之一，并將嚴(yán)重性級別設(shè)置為嚴(yán)重。

b、自定義規(guī)則

網(wǎng)站或應(yīng)用程序所有者創(chuàng)建自定義規(guī)則來解決其環(huán)境特有的特定安全問題。這些規(guī)則可以定制以滿足應(yīng)用程序的特定需求，并且可以提供超出預(yù)定義規(guī)則的額外保護(hù)層。

托管服務(wù)團(tuán)隊在零日漏洞報告后的 24 小時內(nèi)虛擬修補(bǔ)在 Spring Framework 中檢測到的遠(yuǎn)程代碼執(zhí)行 (RCE) 漏洞。

c、自動規(guī)則生成

隨著 WAF 繼續(xù)分析流量并識別新出現(xiàn)威脅的模式，它可以自動生成策略來抵御這些威脅。這有助于減少手動創(chuàng)建策略所涉及的時間和精力，同時防止可能尚未建立簽名或規(guī)則的新的和不斷發(fā)展的威脅。

例如：

一種新的攻擊涉及向應(yīng)用程序發(fā)送特制的 SQL 查詢以繞過身份驗證并獲得對敏感數(shù)據(jù)的訪問權(quán)限。WAF 可以分析流量并識別攻擊中使用的特定 SQL 語法。然后，WAF 可以生成策略來阻止此特定語法并防止攻擊得逞。

生成安全策略后，WAF 應(yīng)用該策略來保護(hù)應(yīng)用程序。這是需要安全專家支持的地方。支持團(tuán)隊可以手動微調(diào)安全策略以減少誤報和漏報。

6、異常評分

如果規(guī)則匹配，WAF 會為請求中的每個偏差應(yīng)用一個分?jǐn)?shù)，作為其威脅檢測和響應(yīng)整體方法的一部分,這被稱為“基于風(fēng)險的方法”。

異常評分系統(tǒng)背后的想法是，并非請求中的所有偏差或異常都同樣重要或表示攻擊。通過為每個變化或異常分配一個分?jǐn)?shù)，WAF 可以確定請求的總體風(fēng)險級別，并決定是阻止還是允許它。

WAF使用多種因素來分配分?jǐn)?shù)，包括偏差的嚴(yán)重性和類型、請求的上下文以及發(fā)出請求的用戶的行為。

例如:

像拼寫錯誤的 URL 這樣的簡單偏差可能只會得到低分

更嚴(yán)重的偏差，如嘗試注入 SQL 代碼，可能會獲得更高的分?jǐn)?shù)。

WAF 還可以使用分?jǐn)?shù)來觸發(fā)不同的操作，

例如:

阻止得分高的請求

允許低分

對平均分?jǐn)?shù)的請求進(jìn)行額外驗證

7、DDoS 速率限制

DDoS 速率限制限制特定 IP 地址在給定時間范圍內(nèi)可以發(fā)送到服務(wù)器的請求數(shù)量。速率限制通常是根據(jù)一個預(yù)定的閾值來設(shè)置的，該閾值被認(rèn)為對正常流量是安全的，任何超過此限制的請求都會被阻止。

通過實施 DDoS 速率限制，WAF 可以有效地防止攻擊者用大量請求淹沒服務(wù)器。這有助于確保合法用戶仍然能夠訪問服務(wù)器，并且業(yè)務(wù)運(yùn)營可以不間斷地繼續(xù)進(jìn)行。

例如：

假設(shè)一家企業(yè)的網(wǎng)站通常每分鐘收到大約 1,000 個請求。為防止 DDoS 攻擊，企業(yè)為任何給定的 IP 地址設(shè)置了每分鐘 2,000 個請求的 DDoS 速率限制。這意味著如果一個 IP 地址每分鐘向服務(wù)器發(fā)送超過 2,000 個請求，WAF 將阻止這些請求。

現(xiàn)在，假設(shè)攻擊者對企業(yè)網(wǎng)站發(fā)起 DDoS 攻擊，使用僵尸網(wǎng)絡(luò)向服務(wù)器發(fā)送大量請求。即使攻擊者控制著數(shù)以千計的受感染設(shè)備，WAF 也會阻止任何超過每分鐘 2,000 個請求閾值的 IP 地址。這有效地限制了 DDoS 攻擊的影響，使網(wǎng)站能夠繼續(xù)為合法用戶正常運(yùn)行。

靜態(tài)速率限制機(jī)制的主要缺陷是它依賴于固定的流量閾值。因此，在達(dá)到閾值之前可能無法檢測到攻擊，從而導(dǎo)致攻擊檢測緩慢或不充分。

8、機(jī)器人緩解

WAF 可以分析瀏覽器發(fā)送的cookie，并將它們檢查到已知機(jī)器人 cookie 的數(shù)據(jù)庫，例如 Udger、Checktor 和 Whatisyourbrowser DB。

為檢測機(jī)器人，火傘云WAF使用 JavaScript 挑戰(zhàn)來區(qū)分傳統(tǒng)網(wǎng)絡(luò)瀏覽器和機(jī)器人。

機(jī)器人控制組件包括但不限于：

驗證碼挑戰(zhàn)

速率限制

機(jī)器人偽裝者

網(wǎng)頁抓取保護(hù)

機(jī)器人智能（指紋、IP、行為模式）

WAF 采用基于行為的分析來檢測自動流量。這可能包括分析請求的速度和頻率、訪問頁面的順序，以及有助于區(qū)分機(jī)器人和人類行為的其他因素。

Bot 保護(hù)包括以下目標(biāo)：

檢測來自人類的機(jī)器人

識別好機(jī)器人與壞機(jī)器人

允許好的機(jī)器人并阻止壞的機(jī)器人

檢測僵尸程序的來源并阻止 IP 地址

分析機(jī)器人行為和速率限制潛在機(jī)器人

通過集成這些方法，WAF 可以成功區(qū)分人類流量和機(jī)器人流量，識別惡意流量，并提供針對 DDoS 和機(jī)器人攻擊的有效防御。