華為云|把世界分為墻內(nèi)和墻外的WAF

來源: 華為云社區(qū)
作者:gagalau
時間:2021-04-08
16972
幾乎每個公司都會在內(nèi)網(wǎng)和外網(wǎng)之間豎起一道防火墻,通過設(shè)定規(guī)則,讓外網(wǎng)不能訪問內(nèi)網(wǎng),而內(nèi)網(wǎng)則有限制地訪問外網(wǎng),只有少數(shù)被允許的網(wǎng)站可以直接訪問。這樣做,一來可以保護(hù)公司網(wǎng)絡(luò)不被惡意攻擊,保護(hù)內(nèi)網(wǎng)的資產(chǎn)和信息;二來,減少員工上班逛淘寶看新聞的時間,聚焦工作,艱苦奮斗。

生活在大中華局域網(wǎng),大家對什么是“墻”都或多或少有了解,為了查資料,“翻-墻”的事估計也沒少干。

這個墻是什么?其實就是大名鼎鼎的防火墻。

幾乎每個公司都會在內(nèi)網(wǎng)和外網(wǎng)之間豎起一道防火墻,通過設(shè)定規(guī)則,讓外網(wǎng)不能訪問內(nèi)網(wǎng),而內(nèi)網(wǎng)則有限制地訪問外網(wǎng),只有少數(shù)被允許的網(wǎng)站可以直接訪問。這樣做,一來可以保護(hù)公司網(wǎng)絡(luò)不被惡意攻擊,保護(hù)內(nèi)網(wǎng)的資產(chǎn)和信息;二來,減少員工上班逛淘寶看新聞的時間,聚焦工作,艱苦奮斗。

防火墻的原理是什么呢?其實很簡單,防火墻相當(dāng)于中轉(zhuǎn)器,對來自內(nèi)網(wǎng)的每個請求,都會進(jìn)行中轉(zhuǎn),中轉(zhuǎn)的時候進(jìn)行檢查,符合要求就放行,訪問成功;否則就進(jìn)行攔截,顯示網(wǎng)站不存在。

華為云web應(yīng)用防(WAF)火墻也是防火墻中的一種,只是主要聚焦網(wǎng)站應(yīng)用的防護(hù),其原理就一句話:分析HTTP/HTTPS請求,按規(guī)則檢測這個請求是否符合要求,符合,放行;不符合,攔截。

image.png

使用WAF時,把要保護(hù)的域名或IP解析到提供給WAF(一般是通過CNAME紀(jì)錄),WAF即開始保護(hù)域名或IP對應(yīng)的服務(wù)器。這時,網(wǎng)站所有的公網(wǎng)流量都會先經(jīng)過WAF,惡意攻擊流量在WAF上被檢測過濾,而正常流量返回給受保護(hù)的域名或IP對應(yīng)的服務(wù)器。

WAF主要由以下模塊組成:配置模塊、協(xié)議解析模塊、規(guī)則模塊、動作模塊、日志模塊模塊。

一、配置模塊:設(shè)置WAF的檢測和防御規(guī)則,什么時候該放行,什么時候該攔截等。

二、協(xié)議解析模塊:打開網(wǎng)站訪問使用的HTTP/HTTPS協(xié)議的數(shù)據(jù)包,就像機(jī)場安檢的物品掃描和分類,這個是打火機(jī),那個是香水,從這里分別送往下一個模塊進(jìn)行檢測。

三、規(guī)則模塊:這是WAF的核心,在這里,WAF要把從協(xié)議解析模塊送來的物品按規(guī)則進(jìn)行比對,判斷一個訪問的好壞,比如來了一瓶香水,要判斷有沒有超過100毫升,進(jìn)行標(biāo)記。這個模塊又可細(xì)分為三個子模塊:

1、規(guī)則配置模塊:配置合適網(wǎng)站的檢測規(guī)則,如IP黑白名單等;

2、規(guī)則解析模塊:主要用以解析具體的規(guī)則文件,規(guī)則文件里是程序猿設(shè)置的各類安全規(guī)則,還有IP庫、網(wǎng)站指紋庫等等;

3、規(guī)則檢測模塊:把網(wǎng)站請求打開來看,是否符合檢測規(guī)則的要求。

四、動作模塊:通過規(guī)則模塊,識別了請求的好壞,接下來就是做出響應(yīng),比如送過來一瓶香水,90毫升,放行;110毫升,攔截?,F(xiàn)實里則是攔截訪問,或者跳出驗證碼輸入正確再放行,或者把請求導(dǎo)到其他網(wǎng)站上去,根據(jù)用戶配置不同、規(guī)則不同、業(yè)務(wù)的不同而會采取不同動作。

五、日志模塊:把防護(hù)和攔截的過程都記錄下來形成日志。

image.png

通過以上模塊的組合,華為云WAF能夠?qū)W(wǎng)站業(yè)務(wù)流量進(jìn)行多維度檢測,防御SQL注入、XSS跨站腳本、常見Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)訪問等OWASP常見攻擊,并過濾惡意的大流量攻擊,避免網(wǎng)站資產(chǎn)數(shù)據(jù)泄露,保障網(wǎng)站安全穩(wěn)定。

通過上面的介紹,大家也可以知道,一個WAF好不好,核心是下述三點(diǎn):

一、規(guī)則夠不夠多,當(dāng)然是越多越好,規(guī)則越多,可能防御的惡意攻擊就越多;

二、判斷夠不夠準(zhǔn),不能攔截正常訪問,放行惡意訪問;

三、配置夠不夠靈活,世界上沒有完全相同的兩片葉子,也沒有完全相同的兩個網(wǎng)站,每個網(wǎng)站都需要根據(jù)自己的業(yè)務(wù)特點(diǎn)來設(shè)置防御規(guī)則,因此提供的配置項越靈活越好。

對應(yīng)上述三點(diǎn),華為云WAF有豐富的規(guī)則庫;通過語義理解+規(guī)則庫+AI來提升準(zhǔn)確度;提供豐富的配置項供用戶自己定義防御規(guī)則。

總之,WAF能夠抵擋絕大部分針對網(wǎng)站的攻擊,是網(wǎng)站安全防護(hù)必備的良藥。

立即登錄,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于華為云社區(qū),本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個人觀點(diǎn),不代表快出海對觀點(diǎn)贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
相關(guān)文章
近6成金融機(jī)構(gòu)的選擇!華為云GaussDB加快金融核心系統(tǒng)轉(zhuǎn)型
近6成金融機(jī)構(gòu)的選擇!華為云GaussDB加快金融核心系統(tǒng)轉(zhuǎn)型
當(dāng)前,數(shù)據(jù)庫在金融機(jī)構(gòu)的應(yīng)用正在從辦公、一般系統(tǒng)逐步邁入核心系統(tǒng)應(yīng)用的深水區(qū)。如何構(gòu)建安全可靠、高效穩(wěn)定的核心系統(tǒng)數(shù)據(jù)庫,支持業(yè)務(wù)運(yùn)營和管理決策,成為了眾多金融機(jī)構(gòu)關(guān)注的焦點(diǎn)問題。
華為云
2024-07-042024-07-04
華為云以系統(tǒng)性創(chuàng)新加速千行萬業(yè)智能化升級
華為云以系統(tǒng)性創(chuàng)新加速千行萬業(yè)智能化升級
華為云全球銷售收入達(dá)553億元人民幣,是全球增長最快的主流云廠商之一。
華為云
2024-04-222024-04-22
華為云發(fā)布新型工業(yè)互聯(lián)網(wǎng)平臺參考架構(gòu)
華為云發(fā)布新型工業(yè)互聯(lián)網(wǎng)平臺參考架構(gòu)
近日,在華為分析師大會上,華為混合云副總裁胡玉海重磅發(fā)布《新型工業(yè)互聯(lián)網(wǎng)平臺參考架構(gòu)》白皮書,在傳統(tǒng)工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)上,融入大模型的能力,讓智能化賦能新型工業(yè)化。
華為云
云服務(wù)
2024-04-222024-04-22
支撐核心系統(tǒng)分布式改造,GaussDB為江南農(nóng)商銀行筑穩(wěn)根基
支撐核心系統(tǒng)分布式改造,GaussDB為江南農(nóng)商銀行筑穩(wěn)根基
在移動互聯(lián)網(wǎng)快速普及的當(dāng)下,金融機(jī)構(gòu)能否提供便捷、智能、個性化的金融服務(wù),成為關(guān)乎業(yè)務(wù)開展和企業(yè)成長的重要命題。
華為云
2024-01-252024-01-25
優(yōu)質(zhì)服務(wù)商推薦
更多
個人VIP