海口高风险地区,提高网站seo,微信注册小程序收费吗,建设部人事教育司网站互联网网站面临着多种威胁#xff0c;包括网络钓鱼和人为的恶意攻击等。这些威胁可能会导致数据泄露、系统崩溃等严重后果。
因此#xff0c;我们需要采取更多有效的措施来保护网站的安全。其中WAF#xff08;Web application firewall#xff0c;Web应用防火墙#xff0…互联网网站面临着多种威胁包括网络钓鱼和人为的恶意攻击等。这些威胁可能会导致数据泄露、系统崩溃等严重后果。
因此我们需要采取更多有效的措施来保护网站的安全。其中WAFWeb application firewallWeb应用防火墙就是最有效的一种防护措施。 文章目录 WAF功能简介WAF实现原理WAF特征匹配识别特征并下发识别结果推导动作执行动作SQL语义分析CCChallenge Collapsar挑战黑洞攻击防护CC攻击防护实现流程 三大检测功能的处理优先级技术优势 推荐阅读 WAF功能简介
WAFWeb application firewallWeb应用防火墙用于阻断Web应用层攻击保护内网Web服务器。当设备收到来自外部的HTTP或HTTPS请求后会对请求报文的安全性和合法性进行检测和验证对非法的请求予以实时阻断从而实现对内网Web服务器的有效防护。
WAF实现原理
WAF通过以下三大功能协同检测实现对Web应用层攻击的精确识别和阻断保护内网Web服务器免受攻击。 WAF特征匹配设备通过对攻击行为的特征进行检测能够有效地识别跨站脚本、爬虫等攻击。 SQL语义分析设备通过对报文中的SQL语句进行语义分析可精确识别SQL注入类攻击。 CCChallenge Collapsar挑战黑洞攻击防护设备通过对Web应用程序客户端的请求进行检测和统计可有效识别CC攻击。
WAF特征匹配
WAF特征匹配功能通过应用层检测引擎对报文进行特征匹配来实时检测Web应用层攻击并基于WAF策略对报文进行处理。WAF策略中定义了对哪些WAF特征进行匹配以及对匹配成功的报文执行的动作。
识别特征并下发识别结果
管理员需要先加载特征到设备为应用层检测引擎的特征匹配提供丰富的特征资源。 应用层检测引擎对报文进行重组、解码、切分和协议解析等处理后将报文与WAF特征进行匹配。 当特征匹配成功时会下发匹配结果到WAF业务模块。
推导动作
WAF业务模块根据特征匹配结果判断出特征在WAF策略中需要执行的动作。在WAF策略中特征可能执行如下几类动作 WAF策略中指定特征的特例动作。 WAF策略中所有特征统一执行的动作。 WAF策略中指定特征的预定义动作。
动作优先级由高到低依次为特例动作 统一动作 预定义动作。
执行动作
WAF业务模块根据动作推导结果执行相应的动作 如果报文只与一个WAF特征匹配成功则执行推导出的动作。 如果报文与多个WAF特征匹配成功则执行推导出的多个动作中优先级最高的动作。
动作优先级由高到低依次为重置 重定向 丢弃 允许。 其中对于源阻断、报文捕获、记录日志只要匹配成功的特征中存在这些动作就会执行。
SQL语义分析
SQL语义分析功能通过对请求报文中的SQL语句进行词法、语法和语义分析来检测是否存在SQL注入攻击并根据检测结果对报文进行相应的处理。
相对于特征匹配功能仅匹配字符串而不懂程序本身SQL语义分析功能可以理解程序语言并在此基础之上检测出可疑流量。 正常访问用户使用用户名和密码登录服务器 SQL注入攻击攻击者绕过用户名和密码验证登录服务器
CCChallenge Collapsar挑战黑洞攻击防护
CC攻击防护功能通过对来自客户端的请求进行内容检测、规则匹配和统计计算来检测CC攻击从而阻断攻击请求实现对内网Web服务器的有效防护。
设备支持请求速率和请求集中度双重检测算法对CC攻击进行识别。
每种算法可以分别配置检测阈值当用户访问网站的统计结果达到任意一个阈值时则认为存在CC攻击。
CC攻击防护实现流程 设备通过将报文与用户配置的过滤条件进行匹配判断对哪些报文进行CC攻击检测。当报文与过滤条件匹配成功则进行下一步处理否则放行报文。设备基于报文的源IP地址对该IP访问网站的数据进行统计。在指定的检测周期内将统计结果与用户配置的检测项阈值进行匹配。若统计结果达到任意一个阈值则认为存在CC攻击并进入下一步处理否则放行报文。设备根据用户配置的动作对报文执行相应的操作包括源阻断、放行和记录日志。
三大检测功能的处理优先级
以上三种检测功能相互独立互不影响。 如果只有一种功能识别出攻击报文则对报文执行该功能配置的动作如果多个功能均识别出攻击报文则对报文执行多个功能中优先级最高的动作。 动作优先级从高到低依次为重置 重定向 丢弃 允许对于黑名单、记录日志和报文捕获三个动作只要处理动作中包含就会执行。
技术优势
WAF有三大技术优势
支持WAF特征匹配、SQL语义分析和CC攻击防护多功能协同检测有效提升Web攻击识别率。当管理员掌握了Web攻击特点时可自定义WAF特征对攻击进行有效拦截。在代理场景下支持从报文的X-Forwarded-For字段提取源IP地址更加准确的识别出攻击源从而有效阻断恶意攻击。
推荐阅读 善用exchange server自带的反垃圾邮件功能过滤垃圾邮件 为 WinHTTP 配置SSL\TLS安全协议 剖析AI诈骗成立的前提条件将有助于制定更有效的对策来防范AI诈骗 Wi-Fi 6和5G 在应用场景上的区别 HTTP状态码504(Gateway Timeout)报错原因分析和解决办法 Ubuntu挂载NFS(Network File System) 怎么解决权限不一致的问题
