随着Web 应用越来越多,黑客的攻击目标也逐渐转向了针对 Web 站点的攻击,尤其是渗透测试首当其冲的就是针对Web的渗透,被攻击队打成筛子的单位往往也是Web安全做的很烂。传统的防火墙专注于网络层的攻击防御,针对 Web 安全的防御能力相对很弱化,甚至基本上是无能为力。因此,WAF(Web Application Firewall,Web 应用防护系统)才应运而生,也是时代发展的产物,说白了WAF就是应用网关防火墙的一种,但是它只专注于 Web 安全的防御,这几年来已经发展成为了一个相对独立的产品。那么,WAF 和防火墙到底有哪些区别呢?针对Web攻击又是如何防御的呢?
WAF 的本质是“专注于 Web 安全的防火墙”,Web安全只关注于应用层的HTTP 请求,WAF 的分析和策略都工作于应用层。WAF有三种工作模式分别是:透明代理、反向代理和插件模式。透明代理和大部分防火墙的工作模式相同:在客户端和服务端通信不需要作出任何改变的情况下,对 HTTP 流量进行请求和转发。在这个过程中,为了解密 HTTPS 流量,WAF 必须和服务端同步 HTTPS 对称密钥。透明代理的优点就是容易部署,不需要客户端和服务端进行任何改动。但是透明代理本身不是一个 Web 服务,所以它无法修改或者响应 HTTP 的请求,只能够控制请求的通过或者拒绝,正因为如此,它也无法实现 Web 服务所提供的认证、内容过滤等功能。
区别于透明代理,反向代理要求客户端将请求的目标地址指向 WAF,而不是服务端。在反向代理工作模式中,服务端接收的请求,实际上也是由 WAF 发起的,WAF 本身就相当于一个 Web 服务,针对所有HTTP请求进行转发。因为反向代理 WAF 本质上是一个 Web 服务,所以 HTTPS 证书可以直接部署在 WAF 上。WAF 在对 HTTPS 流量解密之后,就可以在内网中用 HTTP 的形式,向服务端发起代理请求了,反向代理 WAF 作为一个 Web 服务,能够提供的功能也更加丰富,可以充当一个前置的认证平台,对所有请求进行身份校验和身份管理。同时因为所有等请求都是先到WAF 上,所以反向代理 WAF 对服务端的隔离也更加彻底。但是,功能更丰富意味着性能开销更大。因此,反向代理 WAF 对硬件要求更高。其次,反向代理 WAF 一旦宕机,就无法响应客户端的任何请求。这样一来,即使服务端仍然正常,但用户已经无法正常使用应用了。而对于透明代理 WAF 来说,如果 WAF 宕机了,只是无法提供 Web 防护而已,客户端和服务端的通信不会受到任何影响。
插件模式中,WAF 不再是网络中一个独立的安全产品了,而是以插件的形式依附于 Web 服务端本身,为 Web 安全提供防护。通过AOP(Aspect Oriented Programming,面向切面编程)技术WAF 可以作为一个切片植入到服务端的逻辑中。但是,这种将 WAF 和服务端强耦合的方式,会带来一定的负向影响。首先,会消耗服务器额外的资源,对 Web 服务本身的性能产生影响。其次,WAF 和服务端耦合,也就意味着 WAF 的所有改动都会直接影响到服务端,插件模式的 WAF,它本身的升级必须和服务端一起进入评估和测试流程,就会增加额外的工作量,同时对于运维方来说,对人员对技能要求也会更高。
WAF 就是专注于 Web 安全的防火墙,主要对模式是透明代理、反向代理和插件三种,运行在网络和系统的各个环节中。从功能上来说,WAF 能够解决绝大部分的 Web 安全问题,对于黑客针对 Web 的攻击进行分析和拦截,同时提供额外的审计告警、数据保护等能力。对于三种模式的WAF如何选择主要还是看企业对于Web安全防护的具体要求,结合现阶段的业务的发展情况对于安全要求的程度综合判定。如对WAF防火墙需要更深入的了解,请咨询蓝盟IT外包。
中文
电话咨询
微信咨询
公众号
