華為云|把世界分為墻內和墻外的WAF

生活在大中華局域網，大家對什么是“墻”都或多或少有了解，為了查資料，“翻-墻”的事估計也沒少干。

這個墻是什么？其實就是大名鼎鼎的防火墻。

幾乎每個公司都會在內網和外網之間豎起一道防火墻，通過設定規(guī)則，讓外網不能訪問內網，而內網則有限制地訪問外網，只有少數被允許的網站可以直接訪問。這樣做，一來可以保護公司網絡不被惡意攻擊，保護內網的資產和信息；二來，減少員工上班逛淘寶看新聞的時間，聚焦工作，艱苦奮斗。

防火墻的原理是什么呢？其實很簡單，防火墻相當于中轉器，對來自內網的每個請求，都會進行中轉，中轉的時候進行檢查，符合要求就放行，訪問成功；否則就進行攔截，顯示網站不存在。

華為云web應用防（WAF）火墻也是防火墻中的一種，只是主要聚焦網站應用的防護，其原理就一句話：分析HTTP/HTTPS請求，按規(guī)則檢測這個請求是否符合要求，符合，放行；不符合，攔截。

使用WAF時，把要保護的域名或IP解析到提供給WAF（一般是通過CNAME紀錄），WAF即開始保護域名或IP對應的服務器。這時，網站所有的公網流量都會先經過WAF，惡意攻擊流量在WAF上被檢測過濾，而正常流量返回給受保護的域名或IP對應的服務器。

WAF主要由以下模塊組成：配置模塊、協議解析模塊、規(guī)則模塊、動作模塊、日志模塊模塊。

一、配置模塊：設置WAF的檢測和防御規(guī)則，什么時候該放行，什么時候該攔截等。

二、協議解析模塊：打開網站訪問使用的HTTP/HTTPS協議的數據包，就像機場安檢的物品掃描和分類，這個是打火機，那個是香水，從這里分別送往下一個模塊進行檢測。

三、規(guī)則模塊：這是WAF的核心，在這里，WAF要把從協議解析模塊送來的物品按規(guī)則進行比對，判斷一個訪問的好壞，比如來了一瓶香水，要判斷有沒有超過100毫升，進行標記。這個模塊又可細分為三個子模塊：

1、規(guī)則配置模塊：配置合適網站的檢測規(guī)則，如IP黑白名單等；

2、規(guī)則解析模塊：主要用以解析具體的規(guī)則文件，規(guī)則文件里是程序猿設置的各類安全規(guī)則，還有IP庫、網站指紋庫等等；

3、規(guī)則檢測模塊：把網站請求打開來看，是否符合檢測規(guī)則的要求。

四、動作模塊：通過規(guī)則模塊，識別了請求的好壞，接下來就是做出響應，比如送過來一瓶香水，90毫升，放行；110毫升，攔截?，F實里則是攔截訪問，或者跳出驗證碼輸入正確再放行，或者把請求導到其他網站上去，根據用戶配置不同、規(guī)則不同、業(yè)務的不同而會采取不同動作。

五、日志模塊：把防護和攔截的過程都記錄下來形成日志。

通過以上模塊的組合，華為云WAF能夠對網站業(yè)務流量進行多維度檢測，防御SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權訪問等OWASP常見攻擊，并過濾惡意的大流量攻擊，避免網站資產數據泄露，保障網站安全穩(wěn)定。

通過上面的介紹，大家也可以知道，一個WAF好不好，核心是下述三點：

一、規(guī)則夠不夠多，當然是越多越好，規(guī)則越多，可能防御的惡意攻擊就越多；

二、判斷夠不夠準，不能攔截正常訪問，放行惡意訪問；

三、配置夠不夠靈活，世界上沒有完全相同的兩片葉子，也沒有完全相同的兩個網站，每個網站都需要根據自己的業(yè)務特點來設置防御規(guī)則，因此提供的配置項越靈活越好。

對應上述三點，華為云WAF有豐富的規(guī)則庫；通過語義理解+規(guī)則庫+AI來提升準確度；提供豐富的配置項供用戶自己定義防御規(guī)則。

總之，WAF能夠抵擋絕大部分針對網站的攻擊，是網站安全防護必備的良藥。