简而言之,WAF作为网络应用程序和互联网之间的盾牌,防止没有它可能发生的意外。WAF可以保护你和你客户的应用程序免受跨网站伪造攻击、XSS(跨网站脚本)和SQL注入等。
考虑到网络应用程序攻击是最常见的漏洞原因之一,网络应用程序安全已经变得越来越关键了。正如你即将看到的,WAF是安全的一个关键部分,以防范漏洞。
它是一个反向代理,充当中间人的角色,保护网络应用服务器免受可能的恶意客户的影响。WAF使用一套规则(或策略)来帮助识别谁真正在你的客人名单上,谁只是想制造麻烦。
WAF不应与你的标准网络防火墙(包过滤)相混淆,后者根据一系列标准评估传入数据,包括IP地址、包类型、端口号等等。网络防火墙是好的,在它们所做的事情上是伟大的。唯一的缺点是它们不了解HTTP,因此不能检测到针对网络应用安全缺陷的特定攻击。
这就是WAF的作用,它可以帮助加强你的网络安全,这是网络防火墙无法做到的。它有许多层次。采用不同的安全措施可以帮助你进一步保护各个层次。而采用不同的安全措施可以帮助你进一步保护各个层面。
这七个网络层的情况如下:
在分析上述各层时,典型的网络防火墙帮助保护第3-4层,而WAF则协助保护第7层。这也应该提醒我们,WAF不是一个放之四海而皆准的解决方案。它们最好与其他有效的安全措施(如高质量的网络防火墙)相配。
基于网络的:基于网络的WAFs通常是基于硬件的。它们安装在本地,因此它们将延迟降到最低。然而,它们是一个昂贵的选择,也需要存储和维护设备。
基于主机的:就成本而言,这比基于网络的WAFs要少。另外,它提供了更多的定制选项。这种类型的WAF的缺点之一是消耗本地服务器资源,维护成本,而且实施起来可能很复杂。
根据Positivetechnologies的2019年网络应用报告,平均而言,黑客在10个网络应用中有9个中可以攻击用户。是不是很震惊!该报告还发现,在68%的网络应用中,敏感数据的泄露是一种威胁。像这样的统计数据加强了对更有效的网络应用程序保护的需求。
Allowlist模型则相反,允许你创建一个允许的IP地址和用户代理的专属列表。其他一切都被拒绝。这两种模式都有其优点和缺点,所以现代的WAF通常提供一种混合的安全模式,使你可以同时使用这两种模式。
显然,并不是所有的攻击都能被WAF阻止,然而,它们有助于处理很多攻击。WAF安全可以帮助阻止的一些主要攻击是:
SQL注入:这是被注入或插入到网络输入字段的恶意代码。注入允许攻击破坏应用程序,同时也破坏了底层系统。
跨站脚本攻击(XSS):客户端脚本被攻击者注入到其他用户查看的网页中。
网络提取:用于通过数据搜刮从网站上提取数据。
无效输入:攻击者篡改HTTP请求,绕过网站的安全机制。
第7层DoS:HTTP洪水攻击,利用典型的URL数据中的有效请求。
除了根据前面提到的三种安全模式之一执行外,WAF还自动配备了一套特定的规则(或政策)。这些策略结合了基于规则的逻辑、解析和签名,以帮助检测和防止许多不同的网络应用程序攻击,如前所述。特别是,WAF在防止OWASP(开放网络应用安全项目)每年列出的十大网络应用安全风险方面很有名。这包括诸如服务器端请求伪造(SSRF)、注入和安全记录等恶意攻击。
下面是目前的前十名。你可以看到,从2017年开始有一些合并和新的类别。
在这里找到更多关于OWASP的信息。
除了安全,WAF还可以帮助解决法律问题。如果你的组织使用、处理或存储敏感信息(信用卡资料等),你必须遵守安全要求和标准。这就是WAF发挥作用的地方。WAF可以帮助各种规模的企业遵守PCI、HIPAA和GDPR等监管标准,使防火墙从合规性和安全性的角度具有价值。
考虑到WordPress是世界上最流行的内容管理器,也是一个经常被攻击的目标,WordPress网站有一个WAF是很重要的。你可以部署的防火墙类型有几种,分别是:
下面我们来看看每一种。
这些类型的防火墙被安装在您的WordPress网站和互联网连接之间。这意味着每一个发送到你的WordPress网站的HTTP请求最初都要经过WAF。网络应用WAF比WordPress插件更安全一些。也就是说,它们更昂贵,而且需要一些技术知识来管理。
这种类型的防火墙不需要安装在与你的网络服务器相同的网络上才能发挥作用。它是一种在线服务,像代理服务器一样工作,你网站的流量通过它进行过滤,然后转发到你的网站。有了在线WordPress防火墙,你网站域名的DNS记录将需要被配置为指向在线WAF。因此,这需要你的WordPress访问者与在线WordPress防火墙沟通,而不是准确地与你的WordPress网站沟通。
缺点是什么?你的网站服务器需要通过互联网访问,以便WAF转发流量到你的网站。换句话说,如果IP地址是已知的,人们可以继续直接与你的网络服务器通信。基本上,在非针对性的WordPress攻击中,攻击者会扫描整个网络寻找易受攻击的网站,你的Web服务器和网站仍然可以到达。
幸运的是,你可以将你的服务器的防火墙配置为只响应来自在线WordPress防火墙的流量,所以如果这种攻击发生,你就不会成为受害者了。
像任何东西一样,防火墙可能是不完美的。当然,它们提供了额外的保护,但也有一些漏洞。这方面的几个例子是有限的零日漏洞保护,以及网络应用防火墙绕过。有了零日WordPress漏洞,你的WordPress防火墙就有可能无法阻止攻击。
这就是为什么你的供应商响应式菜单是至关重要的。另外,你应该始终使用来自响应式和值得信赖的企业的软件,以确保防火墙规则得到更新。在网络应用程序防火墙被绕过的情况下,这只是一个他们有漏洞的问题。外面有关于绕过WAF的保护的技术。
此外,一些安全协议经常被忽视。这包括预防措施,如没有采取代码和基础设施审计。随着新数字工具的出现,总会有新的WAF漏洞出现。许多安全问题得到了解决,但有些问题并没有立即被注意到。
综上所述,WAF需要积极维护和配置,以确保它们是最新的。
WAF的部署有几种方式。这完全取决于你的应用程序部署在哪里,需要什么服务,你希望如何管理它们,以及所需的灵活性和性能水平。下面是快速介绍…
反向代理:WAF是应用服务器的代理,因此设备流量直接进入WAF。
透明的反向代理:这是一个具有透明模式的反向代理。正因为如此,WAF单独将过滤后的流量发送到网络应用,通过隐藏应用服务器的地址来实现IP屏蔽。
透明桥接:这是HTTP流量直接进入Web应用的地方。其结果是WAF在设备和服务器之间是透明的。
你必须决定哪种部署方法最有效,并涵盖你所需要的一切。
我们将看一下以下WAF供应商:
这里有一个关于他们是谁以及他们最擅长什么的总结。此外,我们还将指出每家公司的一些首要特点以及他们所采取的重要预防安全措施。
最适合:各种规模的企业,只要它们是AWS客户。
帮助缓解:DDoS攻击、SQL注入和跨站脚本攻击(XSS)。
顶级功能:它有分层防御,包括Cloudfare管理规则,提供先进的零日漏洞保护。此外,它利用核心的OWASP规则,使用自定义规则集,监控和阻止被盗或暴露的凭证,并有灵活的响应选项。此外,它还有日志和报告、问题跟踪、分析和应用层控制。
最适合:从个人使用到中小型企业。此外,它对高级企业和公司来说也很好。另外,它有WordPressWAF规则,所以它对WordPress网站非常好。
帮助缓解:OWASPTop10、垃圾邮件、DDoS攻击、SQL注入、HTTPHeaders,等等。
它有一个计量收费率,按小时率和数据吞吐率计算,然后按月收费。与其他一些WAF供应商相比,这提供了更低的前期成本。
顶级功能:Azure对OWASP有全面的保护,对你的环境有实时可见性,还有安全警报。此外,它有完整的RESTAPI支持,因此它可以实现DevOps流程的自动化。它还具有DDoS保护功能。
最适合:大型企业和小型企业,都可以。
帮助缓解:OWASPTop10,DDos攻击,以及任何自定义规则(以及更多)。
顶级功能:经过测试,我们的WAF比领先的基于插件的防火墙快25%。在我们300多个防火墙规则集的基础上,我们还能防止OWASP的十大攻击。此外,它对任何托管账户都是免费的。
最适合:小型到大型WordPress网站、托管经销商以及管理多个网站的任何机构或个人。
助于缓解:从SQL注入、XSS和更多的攻击。
最适合:小型到大型公司。
帮助缓解:OWASPTop10和AutomatedTop20及其他。
顶级功能:一些关键的安全功能是机器人迁移、实时仪表板、24-7支持和基于ML的威胁情报。
最适合:从中型市场到高级企业的范围。
助于缓解:OWASPTop10API、DDoS、僵尸保护等。
最适合:小型到大型公司
帮助缓解:DDoS攻击和所有OWASP前10名。
顶级功能:垃圾邮件过滤器,预定的安全扫描,防止暴力攻击,实时流量监控,以及更多。
最适合:WordPress网站和小型至大型企业。
助于缓解:暴力破解攻击、OWASPTop10和其他恶意攻击。
顶级功能:DNS级防火墙、恶意软件和阻止列表删除服务,以及暴力破解保护。
最适合:任何规模的WordPress网站和公司/企业。
助于缓解:所有已知的攻击(例如,SQL注入、RCE、RFU等)。
当然,还有许多其他选择。这只是一些评价很高的公司的短名单,当涉及到WAF时,它们可以很好地为你服务。