華為云|把世界分為墻內(nèi)和墻外的WAF

生活在大中華局域網(wǎng)，大家對什么是“墻”都或多或少有了解，為了查資料，“翻-墻”的事估計(jì)也沒少干。

這個(gè)墻是什么？其實(shí)就是大名鼎鼎的防火墻。

幾乎每個(gè)公司都會(huì)在內(nèi)網(wǎng)和外網(wǎng)之間豎起一道防火墻，通過設(shè)定規(guī)則，讓外網(wǎng)不能訪問內(nèi)網(wǎng)，而內(nèi)網(wǎng)則有限制地訪問外網(wǎng)，只有少數(shù)被允許的網(wǎng)站可以直接訪問。這樣做，一來可以保護(hù)公司網(wǎng)絡(luò)不被惡意攻擊，保護(hù)內(nèi)網(wǎng)的資產(chǎn)和信息；二來，減少員工上班逛淘寶看新聞的時(shí)間，聚焦工作，艱苦奮斗。

防火墻的原理是什么呢？其實(shí)很簡單，防火墻相當(dāng)于中轉(zhuǎn)器，對來自內(nèi)網(wǎng)的每個(gè)請求，都會(huì)進(jìn)行中轉(zhuǎn)，中轉(zhuǎn)的時(shí)候進(jìn)行檢查，符合要求就放行，訪問成功；否則就進(jìn)行攔截，顯示網(wǎng)站不存在。

華為云web應(yīng)用防（WAF）火墻也是防火墻中的一種，只是主要聚焦網(wǎng)站應(yīng)用的防護(hù)，其原理就一句話：分析HTTP/HTTPS請求，按規(guī)則檢測這個(gè)請求是否符合要求，符合，放行；不符合，攔截。

使用WAF時(shí)，把要保護(hù)的域名或IP解析到提供給WAF（一般是通過CNAME紀(jì)錄），WAF即開始保護(hù)域名或IP對應(yīng)的服務(wù)器。這時(shí)，網(wǎng)站所有的公網(wǎng)流量都會(huì)先經(jīng)過WAF，惡意攻擊流量在WAF上被檢測過濾，而正常流量返回給受保護(hù)的域名或IP對應(yīng)的服務(wù)器。

WAF主要由以下模塊組成：配置模塊、協(xié)議解析模塊、規(guī)則模塊、動(dòng)作模塊、日志模塊模塊。

一、配置模塊：設(shè)置WAF的檢測和防御規(guī)則，什么時(shí)候該放行，什么時(shí)候該攔截等。

二、協(xié)議解析模塊：打開網(wǎng)站訪問使用的HTTP/HTTPS協(xié)議的數(shù)據(jù)包，就像機(jī)場安檢的物品掃描和分類，這個(gè)是打火機(jī)，那個(gè)是香水，從這里分別送往下一個(gè)模塊進(jìn)行檢測。

三、規(guī)則模塊：這是WAF的核心，在這里，WAF要把從協(xié)議解析模塊送來的物品按規(guī)則進(jìn)行比對，判斷一個(gè)訪問的好壞，比如來了一瓶香水，要判斷有沒有超過100毫升，進(jìn)行標(biāo)記。這個(gè)模塊又可細(xì)分為三個(gè)子模塊：

1、規(guī)則配置模塊：配置合適網(wǎng)站的檢測規(guī)則，如IP黑白名單等；

2、規(guī)則解析模塊：主要用以解析具體的規(guī)則文件，規(guī)則文件里是程序猿設(shè)置的各類安全規(guī)則，還有IP庫、網(wǎng)站指紋庫等等；

3、規(guī)則檢測模塊：把網(wǎng)站請求打開來看，是否符合檢測規(guī)則的要求。

四、動(dòng)作模塊：通過規(guī)則模塊，識(shí)別了請求的好壞，接下來就是做出響應(yīng)，比如送過來一瓶香水，90毫升，放行；110毫升，攔截?，F(xiàn)實(shí)里則是攔截訪問，或者跳出驗(yàn)證碼輸入正確再放行，或者把請求導(dǎo)到其他網(wǎng)站上去，根據(jù)用戶配置不同、規(guī)則不同、業(yè)務(wù)的不同而會(huì)采取不同動(dòng)作。

五、日志模塊：把防護(hù)和攔截的過程都記錄下來形成日志。

通過以上模塊的組合，華為云WAF能夠?qū)W(wǎng)站業(yè)務(wù)流量進(jìn)行多維度檢測，防御SQL注入、XSS跨站腳本、常見Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)訪問等OWASP常見攻擊，并過濾惡意的大流量攻擊，避免網(wǎng)站資產(chǎn)數(shù)據(jù)泄露，保障網(wǎng)站安全穩(wěn)定。

通過上面的介紹，大家也可以知道，一個(gè)WAF好不好，核心是下述三點(diǎn)：

一、規(guī)則夠不夠多，當(dāng)然是越多越好，規(guī)則越多，可能防御的惡意攻擊就越多；

二、判斷夠不夠準(zhǔn)，不能攔截正常訪問，放行惡意訪問；

三、配置夠不夠靈活，世界上沒有完全相同的兩片葉子，也沒有完全相同的兩個(gè)網(wǎng)站，每個(gè)網(wǎng)站都需要根據(jù)自己的業(yè)務(wù)特點(diǎn)來設(shè)置防御規(guī)則，因此提供的配置項(xiàng)越靈活越好。

對應(yīng)上述三點(diǎn)，華為云WAF有豐富的規(guī)則庫；通過語義理解+規(guī)則庫+AI來提升準(zhǔn)確度；提供豐富的配置項(xiàng)供用戶自己定義防御規(guī)則。

總之，WAF能夠抵擋絕大部分針對網(wǎng)站的攻擊，是網(wǎng)站安全防護(hù)必備的良藥。