《刘漩:传统WAF与云WAF.pdf》由会员分享,可在线阅读,更多相关《刘漩:传统WAF与云WAF.pdf(21页珍藏版)》请在三一文库上搜索。
1、传统传统传统传统 WAFWAFWAFWAF与云与云与云与云 WAFWAFWAFWAF 刘玄 安全宝 安全技术专家 新浪微博:aqbsec-0000 Gmail: 关于我关于我关于我关于我 WAF(Web App Firewall)WAF(Web App Firewall)WAF(Web App Firewall)WAF(Web App Firewall) 什么是 WAF ? 针对HTTP/HTTPS的安全策略来保护Web应用 如何保护? 安全策略(规则) HTTP/HTTPSHTTP/HTTPSHTTP/HTTPSHTTP/HTTPS数据流数据流数据流数据流( ( ( (单向单向单向单向)
2、) ) ) 传统的传统的传统的传统的WAFWAFWAFWAF 缺陷: 单向数据流过滤 需要专门部署和安装 价格昂贵,面向于企业和政府 维护成本高 计算能力受限 云云云云WAFWAFWAFWAF 特点: SaaS模式,安全即服务,免部署,免安装,免维护,免更新 双向数据流过滤机制 基于海量数据的灰度规则和智能调控 计算能力没有限制,支持横向扩展 还还还还可以做什么?可以做什么?可以做什么?可以做什么? 定制化规则,未知攻击(0day)完美防御 客户端行为的分析和跟踪 Web最新攻击态势的跟踪 互联网网站风险预估和通知,防患于未然 安全宝安全宝安全宝安全宝 云云云云WAFWAFWAFWAF 安全宝
3、安全宝安全宝安全宝DNSDNSDNSDNS A-DNSA-DNSA-DNSA-DNS 安全宝安全宝安全宝安全宝调度调度调度调度 A A A A-SCHEDULE-SCHEDULE-SCHEDULE-SCHEDULE 用户用户用户用户用户用户用户用户网站网站网站网站 抗抗抗抗 D D D D 节节节节 点点点点 集集集集 群群群群 加加加加 速速速速 节节节节 点点点点 集集集集 群群群群 安安安安 全全全全 节节节节 点点点点 集集集集 群群群群 生成配置生成配置生成配置生成配置 智能调度智能调度智能调度智能调度 DNSDNSDNSDNS HTTPHTTPHTTPHTTP 云云云云WAF WA
4、F WAF WAF 功能功能功能功能 Web攻击拦截 黑规则:针对已知攻击的过滤和拦截 白规则:针对未知攻击的拦截和防御 访问加速 DNS分区解析,遍布全国各地的节点 静态内容缓存(CDN) CC、DDoS防御 WebWebWebWeb攻击防御架构攻击防御架构攻击防御架构攻击防御架构 白规则黑规则真实网站 HTTP数据流 日志中心 正常日志未知日志 分析与学习分析与学习 白规则防御白规则防御白规则防御白规则防御 基础思想:一切输入都是有害的 GET http:/ Web App可进行交互的输入 URI 请求文件 H H H HTTPTTPTTPTTP请求方法控制请求方法控制请求方法控制请求方法
5、控制 参数控制 字符类型可控(数字,字母,符号和不可视符号) 变量长度可控 客户端行为客户端行为客户端行为客户端行为分析分析分析分析 2012.102012.122012.102012.122012.102012.122012.102012.12攻击态势统计攻击态势统计攻击态势统计攻击态势统计 2012201220122012年年年年WebWebWebWeb应用应用应用应用0day0day0day0day跟踪跟踪跟踪跟踪TOP10TOP10TOP10TOP10 Top 10 Top 10 Top 10 Top 10 风险预警风险预警风险预警风险预警 WAF WAF WAF WAF 的短板的短板
6、的短板的短板 误报 安全策略拦截正常HTTP请求 漏报 安全策略放过攻击HTTP请求 我们一直在努力我们一直在努力我们一直在努力我们一直在努力 误报 富文本的攻击检测 WAF白名单(目录,文件和请求) 严格地规则测试 功能测试 性能测试 (单条规则1ms,避免ReDoS) 回归测试 海量日志回放(1亿+) 灰度发布机制 漏报 后端Web Server的特点 IIS的%号绕过,复参数,编码特性 IIS、Apache & Nginx“+”号 后端Web App的特点 URL编码绕过 后端Web Db的特点 数据库注释符绕过 数据库的逻辑运算、关键函数 收集漏报 扫描器的高危漏洞 白帽子上报 日志的挖掘 添加规则策略 下一代WAF? 如何解决呢? 从源头上识别: 从源头上控制: Q&A? Thanks