Skip to content

超级WAF3.0(运维安全 PDRR 模型)

WAF产品定义

●●WAF(Web 应用程序防火墙)通过过滤和监控 Web 应用程序与互联网之间的 HTTP 流量来帮助保护 Web 应用程序。它通常可以保护 Web 应用程序,使其免受跨站点伪造、跨站点脚本 (XSS)、文件包含、SQL注入及其他一些攻击的影响。
●●WAF 属于协议第 7 层防御策略(OSI 模型中),并不能抵御所有类型的攻击。此攻击缓解方法通常隶属于一套工具,整套工具共同针对一系列攻击手段建立整体防御措施。
●●通过在 Web 应用程序前端部署 WAF,可在 Web 应用程序与 Internet 之间形成一道屏障。虽然代理服务器通过中介保护客户机的身份,但 WAF 是一种反向代理,引导客户端通过 WAF 到达服务器,从而防止暴露服务器。
●●WAF 通过一组通常称为“策略”的规则进行运作。这些策略旨在过滤恶意流量,防止受到应用程序漏洞的侵害。WAF 的部分价值在于可以快速简便地修改政策,因而可以更迅速地响应不同的攻击手段。在 CC攻击期间,可通过修改 WAF 政策快速实施速率限制
核心价值:为用户提供精准的Web应用防护,提供业务连续性保证

客户对WAF的期待-运维安全 PDRR 模型

全球网络架构与原理

全球分布式网络WAF节点(国际anycast+中国国内节点+CN2回国优化节点)

WAF系统架构


Web应用流量

防御:开启防护的基本设置:切cname解析即刻生效


接入前:没有使用我们之前,源站 是暴露在公网上的
接入后:使用我们服务后, 所有的请求都有通过Anycast被路由到最近的防护节点数据中心,经过处理后再回到源站

监测:数据获取及DDOS攻击流量分析

利用用户安全中心-安全加速,分析了解流量模式,掌握合法用户行为特征,了解防火墙安全事件

监测:数据获取及七层WEB攻击流量分析

利用用户安全中心-Web应用防火墙3.0,分析了解流量模式,掌握合法用户行为特征,了解防火墙安全事件

响应:防护模式:仅记录

菜单“ 套餐列表->配置策略->策略组中选中相应WAF规则名称
开户仅记录模式预跑,可以提前发现一些可能存在的漏洞并对其进行修复,在此过程中,不会有拦截动作

在日志服务中,可以查看详细数据,同时也可以提前一建加白名单

响应:防护模式:开启

● 菜单“ 套餐列表->配置策略->策略组中选中相应WAF规则名称
拦截模式开启,针对自定义规则,限速规则,托管规则,配置的条件策略,及OWASP规则集存在的,可以对触发的策略有拦截动作
在日志服务中,可以查看详细数据,同时也可以提前一建加白名单

响应:自定义规则

菜单“ 套餐列表->配置策略->策略组->自定义规则 高级版自定义规则

匹配依据:
● 独立IP
● 主机名
● 请求头
● Cookie
● 查询参数
● URI
● 国家/地区
● X-forwarded-For
● 请求来源/请求头
● UA
● Referer
采取措施:
● 跳过规则 ● 仅记录 ● 拦截 ● 加白规则ID

响应:频率限制

高级版频率限制

匹配依据:
1.设定频率限制规则的流量范围
2.定义频率限制的匹配依据和计数依据
3.定义频率、操作持续时间
计数依据:
● 独立IP
● 请求头
● Cookie
● 查询参数
● URI
● 国家/地区
● X-forwarded-For
● 请求来源
● UA
● Referer

响应:限速规则

菜单“ 套餐列表->配置策略->策略组->限速规则
保护源站:高精度DoS保护,保护源站免受过多请求数影响
保护客户数据:保护敏感客户信息免受暴力登录攻击
保护API:设置 API 使用限制,确保可用性并防止滥用
节约成本:设置阈值,仅允许合法流量通过,避免因流量峰值或攻击而产生不可预测的成本

响应:策略组->OWASP托管规则集

SQL Injection (SQLi):阻止SQL注入
Cross Site Scripting (XSS):阻止跨站脚本攻击
Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击
Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击
Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击
PHP Code Injectiod:阻止PHP代码注入
HTTP Protocol Violations:阻止违反HTTP协议的恶意访问
HTTPoxy:阻止利用远程代理感染漏洞进行攻击
Sshllshock:阻止利用Shellshock漏洞进行攻击
Session Fixation:阻止利用Session会话ID不变的漏洞进行攻击
Scanner Detection:阻止黑客扫描网站
Metadata/Error Leakages:阻止源代码/错误信息泄露
Project Honey Pot Blacklist:蜜罐项目黑名单
GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断

恢复 :一键加白名单

通过查看日志,一键加白名单:Web应用防火墙3.0-> 日志服务 --点击或搜索相应日志ID

恢复 :通过自定义规则跳过

Web应用防火墙3.0->套餐列表->策略组->自定义规则->新增规则,通过这里可以跳过三大规则总集

恢复 :通过托管规则,禁用更细分托管规则条目

Web应用防火墙3.0->套餐列表->策略组->托管规则->高级搜索,通过这里可以禁用细分规则

恢复 :回顾并逐步完善规则

● 结合数据完善规则
● 调整限速规则的阈值
● 回顾被攻击的规则,调整阈值,保持常态开启
● 回顾攻击IP或分析日志,是否需要通过List 开启常态化拦截以降低风险
● 是否需要对其他配置进行优化
● 是否优化静态资源的缓存规则
● 是否更新 TLS 版本,或配置 HTTPS 重定向