華為云|把世界分為墻內(nèi)和墻外的WAF

生活在大中華局域網(wǎng)，大家對(duì)什么是“墻”都或多或少有了解，為了查資料，“翻-墻”的事估計(jì)也沒(méi)少干。

這個(gè)墻是什么？其實(shí)就是大名鼎鼎的防火墻。

幾乎每個(gè)公司都會(huì)在內(nèi)網(wǎng)和外網(wǎng)之間豎起一道防火墻，通過(guò)設(shè)定規(guī)則，讓外網(wǎng)不能訪問(wèn)內(nèi)網(wǎng)，而內(nèi)網(wǎng)則有限制地訪問(wèn)外網(wǎng)，只有少數(shù)被允許的網(wǎng)站可以直接訪問(wèn)。這樣做，一來(lái)可以保護(hù)公司網(wǎng)絡(luò)不被惡意攻擊，保護(hù)內(nèi)網(wǎng)的資產(chǎn)和信息；二來(lái)，減少員工上班逛淘寶看新聞的時(shí)間，聚焦工作，艱苦奮斗。

防火墻的原理是什么呢？其實(shí)很簡(jiǎn)單，防火墻相當(dāng)于中轉(zhuǎn)器，對(duì)來(lái)自內(nèi)網(wǎng)的每個(gè)請(qǐng)求，都會(huì)進(jìn)行中轉(zhuǎn)，中轉(zhuǎn)的時(shí)候進(jìn)行檢查，符合要求就放行，訪問(wèn)成功；否則就進(jìn)行攔截，顯示網(wǎng)站不存在。

華為云web應(yīng)用防（WAF）火墻也是防火墻中的一種，只是主要聚焦網(wǎng)站應(yīng)用的防護(hù)，其原理就一句話：分析HTTP/HTTPS請(qǐng)求，按規(guī)則檢測(cè)這個(gè)請(qǐng)求是否符合要求，符合，放行；不符合，攔截。

使用WAF時(shí)，把要保護(hù)的域名或IP解析到提供給WAF（一般是通過(guò)CNAME紀(jì)錄），WAF即開(kāi)始保護(hù)域名或IP對(duì)應(yīng)的服務(wù)器。這時(shí)，網(wǎng)站所有的公網(wǎng)流量都會(huì)先經(jīng)過(guò)WAF，惡意攻擊流量在WAF上被檢測(cè)過(guò)濾，而正常流量返回給受保護(hù)的域名或IP對(duì)應(yīng)的服務(wù)器。

WAF主要由以下模塊組成：配置模塊、協(xié)議解析模塊、規(guī)則模塊、動(dòng)作模塊、日志模塊模塊。

一、配置模塊：設(shè)置WAF的檢測(cè)和防御規(guī)則，什么時(shí)候該放行，什么時(shí)候該攔截等。

二、協(xié)議解析模塊：打開(kāi)網(wǎng)站訪問(wèn)使用的HTTP/HTTPS協(xié)議的數(shù)據(jù)包，就像機(jī)場(chǎng)安檢的物品掃描和分類，這個(gè)是打火機(jī)，那個(gè)是香水，從這里分別送往下一個(gè)模塊進(jìn)行檢測(cè)。

三、規(guī)則模塊：這是WAF的核心，在這里，WAF要把從協(xié)議解析模塊送來(lái)的物品按規(guī)則進(jìn)行比對(duì)，判斷一個(gè)訪問(wèn)的好壞，比如來(lái)了一瓶香水，要判斷有沒(méi)有超過(guò)100毫升，進(jìn)行標(biāo)記。這個(gè)模塊又可細(xì)分為三個(gè)子模塊：

1、規(guī)則配置模塊：配置合適網(wǎng)站的檢測(cè)規(guī)則，如IP黑白名單等；

2、規(guī)則解析模塊：主要用以解析具體的規(guī)則文件，規(guī)則文件里是程序猿設(shè)置的各類安全規(guī)則，還有IP庫(kù)、網(wǎng)站指紋庫(kù)等等；

3、規(guī)則檢測(cè)模塊：把網(wǎng)站請(qǐng)求打開(kāi)來(lái)看，是否符合檢測(cè)規(guī)則的要求。

四、動(dòng)作模塊：通過(guò)規(guī)則模塊，識(shí)別了請(qǐng)求的好壞，接下來(lái)就是做出響應(yīng)，比如送過(guò)來(lái)一瓶香水，90毫升，放行；110毫升，攔截。現(xiàn)實(shí)里則是攔截訪問(wèn)，或者跳出驗(yàn)證碼輸入正確再放行，或者把請(qǐng)求導(dǎo)到其他網(wǎng)站上去，根據(jù)用戶配置不同、規(guī)則不同、業(yè)務(wù)的不同而會(huì)采取不同動(dòng)作。

五、日志模塊：把防護(hù)和攔截的過(guò)程都記錄下來(lái)形成日志。

通過(guò)以上模塊的組合，華為云WAF能夠?qū)W(wǎng)站業(yè)務(wù)流量進(jìn)行多維度檢測(cè)，防御SQL注入、XSS跨站腳本、常見(jiàn)Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)訪問(wèn)等OWASP常見(jiàn)攻擊，并過(guò)濾惡意的大流量攻擊，避免網(wǎng)站資產(chǎn)數(shù)據(jù)泄露，保障網(wǎng)站安全穩(wěn)定。

通過(guò)上面的介紹，大家也可以知道，一個(gè)WAF好不好，核心是下述三點(diǎn)：

一、規(guī)則夠不夠多，當(dāng)然是越多越好，規(guī)則越多，可能防御的惡意攻擊就越多；

二、判斷夠不夠準(zhǔn)，不能攔截正常訪問(wèn)，放行惡意訪問(wèn)；

三、配置夠不夠靈活，世界上沒(méi)有完全相同的兩片葉子，也沒(méi)有完全相同的兩個(gè)網(wǎng)站，每個(gè)網(wǎng)站都需要根據(jù)自己的業(yè)務(wù)特點(diǎn)來(lái)設(shè)置防御規(guī)則，因此提供的配置項(xiàng)越靈活越好。

對(duì)應(yīng)上述三點(diǎn)，華為云WAF有豐富的規(guī)則庫(kù)；通過(guò)語(yǔ)義理解+規(guī)則庫(kù)+AI來(lái)提升準(zhǔn)確度；提供豐富的配置項(xiàng)供用戶自己定義防御規(guī)則。

總之，WAF能夠抵擋絕大部分針對(duì)網(wǎng)站的攻擊，是網(wǎng)站安全防護(hù)必備的良藥。