硬件WAF有哪些特點(diǎn)�����?經(jīng)過多年的發(fā)展���,硬件WAF設(shè)備的防護(hù)效果及性能已經(jīng)非常成熟��,并且有大量的安全公司提供類似的設(shè)備或產(chǎn)品����。
但是在多年使用中����,WAF在防護(hù)方面主要有以下兩個(gè)比較具有爭議的特點(diǎn)。
1.代理模式
這種模式下���,將設(shè)備部署在Web服務(wù)器前端��,可將Web網(wǎng)站緩存到設(shè)備中�,并由WAF對用戶的Web請求進(jìn)行響應(yīng)。
而且���,WAF也會定期對Web網(wǎng)站頁面進(jìn)行檢查�����,確認(rèn)網(wǎng)站是否安全,是否存在篡改行為等���。此模式在設(shè)計(jì)之初預(yù)期非常好�,希望WAF充當(dāng)用戶與站點(diǎn)之間的緩沖帶��。
但由于WAF本身并不參與Web系統(tǒng)服務(wù)器的工作�,因此當(dāng)面對用戶的交互請求時(shí),仍會由被防護(hù)的Web服務(wù)器進(jìn)行響應(yīng)�。
因此,在實(shí)際工作中開啟此模式的WAF設(shè)備也相對較少����。
2.在線攻擊防護(hù)效果
WAF設(shè)計(jì)之初的目標(biāo)就是針對SQL注入、XSS等在線攻擊行為進(jìn)行防護(hù)����。WAF常用的方式是利用關(guān)鍵字匹配,通過內(nèi)置的Web漏洞及攻擊行為特征對用戶請求進(jìn)行檢測。
這樣做的問題是誤報(bào)率較高�,且會阻斷正常用戶行為。目前����,新型的WAF設(shè)備具備了自學(xué)習(xí)及類似功能,可利用機(jī)器學(xué)習(xí)的方式來擴(kuò)展防護(hù)的規(guī)則庫��,防護(hù)效果有較明顯的提升���。
除此之外����,WAF的額外功能很多�,如爬蟲檢測功能、DDoS攻擊識別功能����、漏洞專項(xiàng)防護(hù)等。但是其標(biāo)準(zhǔn)防護(hù)技術(shù)就是疑似行為匹配�����。WAF內(nèi)部會建立大量的規(guī)則庫�,涵蓋各種漏洞類型的常見攻擊特征����、關(guān)鍵代碼等�。
然后,利用正則表達(dá)式實(shí)現(xiàn)快速識別�����。當(dāng)然�����,也會針對高危漏洞編寫特定檢測插件���,以便精確識別當(dāng)前攻擊并做出防護(hù)。
硬件WAF的防護(hù)思路及方案非常適合為互聯(lián)網(wǎng)的Web應(yīng)用提供防護(hù)�����,但事實(shí)并非如此�。通常來說,WAF的性能最高能夠達(dá)到Gbps級別����,這主要取決于檢查深入程度及設(shè)備延遲。設(shè)備延遲過高會對用戶體驗(yàn)造成極大的影響。
同時(shí)作為一款硬件設(shè)備����,WAF需部署在Web服務(wù)器前端,這樣在網(wǎng)絡(luò)內(nèi)就形成了一個(gè)單點(diǎn)情況��,俗稱“單點(diǎn)故障點(diǎn)”���。在這種情況下����,如果WAF出現(xiàn)硬件��、系統(tǒng)故障情況�,極可能導(dǎo)致網(wǎng)絡(luò)中斷。
為了解決這個(gè)問題��,目前WAF產(chǎn)品均具有雙機(jī)熱備/互備功能����。依賴于通用的VRRP熱備協(xié)議或其他標(biāo)準(zhǔn),在網(wǎng)絡(luò)內(nèi)可實(shí)現(xiàn)多臺設(shè)備的相互虛擬�����,由協(xié)議自動(dòng)監(jiān)控設(shè)備狀態(tài)并自動(dòng)切換鏈路。
同時(shí)設(shè)備支持硬/軟件bypass(一種斷電網(wǎng)絡(luò)連通機(jī)制���,避免由于設(shè)備宕機(jī)后網(wǎng)絡(luò)中斷)��,采取雙電源等模式����,盡可能保障網(wǎng)絡(luò)的通暢��。
在設(shè)備實(shí)際部署中��,需根據(jù)真實(shí)的服務(wù)情況進(jìn)行合理的網(wǎng)絡(luò)配置�����,如下圖所示���。
圖 WAF在線部署示意圖
外部防護(hù)類設(shè)備雖然防護(hù)效果良好�����,針對各類攻擊的防護(hù)效果可達(dá)到95%以上����,但是此類防護(hù)設(shè)備僅建議作為主要防護(hù)手段的補(bǔ)充����,不要完全依靠設(shè)備保障Web服務(wù)器的安全���,并從代碼層面盡早進(jìn)行漏洞的修復(fù)�。
