生活在大中華局域網(wǎng),大家對什么是“墻”都或多或少有了解,為了查資料,“翻-墻”的事估計也沒少干。
這個墻是什么?其實就是大名鼎鼎的防火墻。
幾乎每個公司都會在內(nèi)網(wǎng)和外網(wǎng)之間豎起一道防火墻,通過設(shè)定規(guī)則,讓外網(wǎng)不能訪問內(nèi)網(wǎng),而內(nèi)網(wǎng)則有限制地訪問外網(wǎng),只有少數(shù)被允許的網(wǎng)站可以直接訪問。這樣做,一來可以保護(hù)公司網(wǎng)絡(luò)不被惡意攻擊,保護(hù)內(nèi)網(wǎng)的資產(chǎn)和信息;二來,減少員工上班逛淘寶看新聞的時間,聚焦工作,艱苦奮斗。
防火墻的原理是什么呢?其實很簡單,防火墻相當(dāng)于中轉(zhuǎn)器,對來自內(nèi)網(wǎng)的每個請求,都會進(jìn)行中轉(zhuǎn),中轉(zhuǎn)的時候進(jìn)行檢查,符合要求就放行,訪問成功;否則就進(jìn)行攔截,顯示網(wǎng)站不存在。
華為云web應(yīng)用防(WAF)火墻也是防火墻中的一種,只是主要聚焦網(wǎng)站應(yīng)用的防護(hù),其原理就一句話:分析HTTP/HTTPS請求,按規(guī)則檢測這個請求是否符合要求,符合,放行;不符合,攔截。
使用WAF時,把要保護(hù)的域名或IP解析到提供給WAF(一般是通過CNAME紀(jì)錄),WAF即開始保護(hù)域名或IP對應(yīng)的服務(wù)器。這時,網(wǎng)站所有的公網(wǎng)流量都會先經(jīng)過WAF,惡意攻擊流量在WAF上被檢測過濾,而正常流量返回給受保護(hù)的域名或IP對應(yīng)的服務(wù)器。
WAF主要由以下模塊組成:配置模塊、協(xié)議解析模塊、規(guī)則模塊、動作模塊、日志模塊模塊。
一、配置模塊:設(shè)置WAF的檢測和防御規(guī)則,什么時候該放行,什么時候該攔截等。
二、協(xié)議解析模塊:打開網(wǎng)站訪問使用的HTTP/HTTPS協(xié)議的數(shù)據(jù)包,就像機(jī)場安檢的物品掃描和分類,這個是打火機(jī),那個是香水,從這里分別送往下一個模塊進(jìn)行檢測。
三、規(guī)則模塊:這是WAF的核心,在這里,WAF要把從協(xié)議解析模塊送來的物品按規(guī)則進(jìn)行比對,判斷一個訪問的好壞,比如來了一瓶香水,要判斷有沒有超過100毫升,進(jìn)行標(biāo)記。這個模塊又可細(xì)分為三個子模塊:
1、規(guī)則配置模塊:配置合適網(wǎng)站的檢測規(guī)則,如IP黑白名單等;
2、規(guī)則解析模塊:主要用以解析具體的規(guī)則文件,規(guī)則文件里是程序猿設(shè)置的各類安全規(guī)則,還有IP庫、網(wǎng)站指紋庫等等;
3、規(guī)則檢測模塊:把網(wǎng)站請求打開來看,是否符合檢測規(guī)則的要求。
四、動作模塊:通過規(guī)則模塊,識別了請求的好壞,接下來就是做出響應(yīng),比如送過來一瓶香水,90毫升,放行;110毫升,攔截?,F(xiàn)實里則是攔截訪問,或者跳出驗證碼輸入正確再放行,或者把請求導(dǎo)到其他網(wǎng)站上去,根據(jù)用戶配置不同、規(guī)則不同、業(yè)務(wù)的不同而會采取不同動作。
五、日志模塊:把防護(hù)和攔截的過程都記錄下來形成日志。
通過以上模塊的組合,華為云WAF能夠?qū)W(wǎng)站業(yè)務(wù)流量進(jìn)行多維度檢測,防御SQL注入、XSS跨站腳本、常見Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)訪問等OWASP常見攻擊,并過濾惡意的大流量攻擊,避免網(wǎng)站資產(chǎn)數(shù)據(jù)泄露,保障網(wǎng)站安全穩(wěn)定。
通過上面的介紹,大家也可以知道,一個WAF好不好,核心是下述三點(diǎn):
一、規(guī)則夠不夠多,當(dāng)然是越多越好,規(guī)則越多,可能防御的惡意攻擊就越多;
二、判斷夠不夠準(zhǔn),不能攔截正常訪問,放行惡意訪問;
三、配置夠不夠靈活,世界上沒有完全相同的兩片葉子,也沒有完全相同的兩個網(wǎng)站,每個網(wǎng)站都需要根據(jù)自己的業(yè)務(wù)特點(diǎn)來設(shè)置防御規(guī)則,因此提供的配置項越靈活越好。
對應(yīng)上述三點(diǎn),華為云WAF有豐富的規(guī)則庫;通過語義理解+規(guī)則庫+AI來提升準(zhǔn)確度;提供豐富的配置項供用戶自己定義防御規(guī)則。
總之,WAF能夠抵擋絕大部分針對網(wǎng)站的攻擊,是網(wǎng)站安全防護(hù)必備的良藥。