浅析Waf优缺点:硬件Waf、软件Waf、云Waf之总结

来源:Leah 时间:2022-08-17 10:15:56阅读:0

一、什么是Waf?

Waf的全拼为:WebApplicationFirewall,顾名思义Waf是专门针对的Web应用攻击防护产品Web虽然应用越来越丰富,但大多数交互都转移到了Web上,同时Web在这个时候,它也成为了主要的攻击目标Waf成为安全防护的第一道防线,Waf在安全中的重要性不言而喻。

浅析Waf优缺点:硬件Waf、软件Waf、云Waf之总结

二、Waf形态分类

目前市场上的Waf可分为三种形式:

硬件Web防火墙

Web防护软件

云Waf

硬件Waf通常的安装方法是Waf串行部署在Web用于检测和阻断异常流量的服务器前端。

常规硬件Waf实现的方法是通过代理技术代理外部流量,分析请求包,匹配安全规则库的攻击规则。如果规则库中的规则成功匹配,则识别为异常并阻止请求。

软件Waf安装在需要保护的服务器上,实现通常是Waf或以监控端口Web请求检测和阻断容器扩展模式。

云Waf云是近年来随着云计算的推广而衍生出来的新产品WAF,也称WEB采用防火墙云模式,使用户无需在自己的网络中安装软件程序或部署硬件设备,即可对网站进行安全保护,其主要实现方式是使用DNS该技术通过移交域名分析权来实现安全保护。用户的请求首先发送到云节点进行测试。如果有异常请求,拦截,否则将请求转发给真实服务器。

总结优缺点

面对不同的形式Waf,那么作为网站运营商,如何选择适合自己的呢?Waf呢?不同形式的Waf各有各的优缺点。

硬件Waf好处(一):部署简单,即插即用

硬件Waf只需串联到交换机上,简单配置即可实现Web安全防护

硬件Waf利润(二):能承受较高的吞吐量

由于硬件防火墙是基于硬件设备实现的,一般较高的数据吞吐量

硬件Waf利润(3):防护范围大

由于硬件防火墙直接串联到交换机,同一交换机下的所有服务器都在防火墙的保护范围内

说完优点,我们来说说缺点。

硬件Waf缺点(一):价格昂贵

目前,安全行业的硬件Waf,价格对中小企业来说太贵了,往往是几十万甚至几百万

硬件Waf缺点(二):有一定的误杀

由于硬件Waf它通过攻击规则库识别异常流量,因此在业务系统复杂的情况下,防火墙可能会拦截正常功能,影响正常业务

硬件Waf缺点(3):有一定的机会绕过

硬件防火墙对HTTP协议自行分析,可能存在和Web服务器对HTTP对请求的理解不一致导致绕过

以上客观描述了硬件防火墙的优缺点,欢迎补充。

再来看看软件Waf优缺点是什么?

软件Waf利润(一):开箱即用,便宜甚至免费

目前国内软件Waf,如安全狗、网站安全卫士等都有免费版,下载安装后简单配置即可使用。

软件Waf好处(二):管理方便,界面友好

行业内的软件Waf通过软件管理服务器的安全状态,提供友好的查看和管理界面

软件Waf好处(三):功能丰富

使用软件实现Waf除了实现对Web应用的防护功能之外,还存在其他丰富的安全功能,如扫描恶意木马文件、防篡改、服务器优化、备份等等功能,这些功能对于不了解网站技术的人来说提供了便捷

软件Waf缺点(一):误杀&漏报特性

软件Waf对HTTP该协议实现了自分析,不能与容器背后的协议相匹配Web应用程序对协议保持一致的理解,在误杀和漏报之间没有很好的平衡,分析过于细化和存在Waf容易被欺骗导致绕过的特点,过于严格的防御可能会影响正常的业务运作

软件Waf缺点(二):占用内存过多

由于软件Waf为了实现对每个请求的分析和识别,可能会占用过多的服务器内存

软件Waf缺点(3):只适合中小网站

由于软件Waf单台服务器需要部署,可能存在影响正常业务和绕过的风险,不适合大型网络的安全防护

所以今年的新产品,云Waf表现如何?

云Waf好处(一):部署简单,维护成本低

这也是云Waf最有价值和受用户喜爱的一点,无需安装任何软件或者部署任何硬件设备,只需修改DNS可以将网站部署到云中Waf在保护范围内

云Waf利润(二):用户不需要更新

云Waf当新漏洞爆发时,云负责规则的更新和维护,用户不必担心因疏忽而受到新漏洞的攻击

云Waf好处(3):可以充当CDN

云Waf它还具有防护功能CDN功能,在保护的同时也能提高网站访问的速度,CDN静态资源通过跨运营商的多线智能分析调度动态负载到全国各地的云节点,用户将被引导到最近的云节点,以提高访问速度

让部分用户对云进行上述优势Waf产生爱,但从安全专业的角度来看,云Waf还有一些严重的问题。

云Waf缺点(一):容易绕过的风险

云Waf实现用户的主要原理DNS如果黑客通过相关手段获得服务器的真实性,分析云节点实现保护IP地址,然后强制分析域名,很容易绕过云Waf攻击服务器

云Waf缺点(二):可靠性低

云Waf需要处理一个请求DNS分析、请求调度、流量过滤等环节涉及协同相关工作,只要有一个环节出现问题,网站就无法访问。必要时,只能手动切换到原始DNS为了保证业务的正常运行,域名分析需要一定的时间,会导致网站在短时间内无法正常访问

云Waf缺点(三):保密性低

对于一些企事业单位来说,网站访问数据是保密数据,可能包含用户的隐私或商业信息。这些数据将相对安全,但如果使用Waf,所有数据都会记录在云中,相当于数据被他人保存,可能存在一定的泄露风险

在分析了利弊之后,我们发现了云Waf目前只适用于安全要求较低的中小企业或个人网站,如政府、金融、运营商等安全要求较高的网站Waf不能满足相关要求,所以大多数网站经理,需要根据自己的实际情况选择合适的安全产品和服务

四、Web更好的保护选择RASP

RASP英文为Runtimeapplicationself-protection,它将保护程序像疫苗一样注入到应用程序和应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遇到特定漏洞和攻击时不需要人工干预就可以进行自动重新配置应对新的攻击。

这意味着,RASP在程序执行过程中运行,使程序能够自我监控和识别有害的输入和行为。

其实,RASP与传统的安全技术不同,设备的传统安全技术不同,它可以使应用程序具有自我保护能力。实时的RASP这是一个非常重要的特点,因为应用程序的上下文不仅可以分析应用程序的行为,还可以结合上下文分析行为,一旦发现攻击行为,就可以持续分析。

而WAF无法检查应用程序的漏洞,更不用说解决已知的漏洞了。它不了解应用程序,也不能深入到数据流中测系统的独特问题,例如SQL注入。每个数据库SQL语言有很多不同,WAF针对具体数据库无法预防SQL进攻行为。

自我保护实时应用程序(RASP)继承了WAF的大部分功能,使应用程序很好地保护自己。RASP与应用程序交换的每个节点点进行监控,包括用户、数据库、网络和文件系统。

了解应用程序的上下文,RASP完全清楚应用程序的输入输出,因此它可以根据具体的数据流定制合适的保护机制,从而可以达到非常精确的实时攻击识别和拦截。

RASP当可疑行为进入应用程序时,它不会被拦截,而是先标记它,然后在输出时检查它是否是危险行为,以尽量减少误报和遗漏的可能性。这对银行和金融系统的应用程序保护尤为重要,因为它们对性能和可用性有很高的要求。

RASP优点可概括为:

RASP利润(一):误报率低

不同于WAF,RASP除了发现漏洞或攻击行为外,它通常不会发出任何声音。这可以大大降低误报率。RASP攻击和合法输入可以非常准确地区分WAF很多时候做不到,大大降低了专门请人分析结果的成本,不需要扫描修复过程。

RASP利润(二):维护成本低

WAF安装过程非常复杂,需要非常准确的配置来覆盖尽可能广泛的应用程序。几乎每次都有更好的结果Web应用程序发布新版时都需要对管理员进行「培训」并对WAF进行有针对性的重新配置。然而,大多数企业不能如此及时和改进,这可能会导致大量的误报和性能问题。RASP几乎可以开箱即用,只需要非常简单的配置即可使用。这是因为RASP在应用程序内部监控实时数据。

RASP利润(3):覆盖度和兼容性极高

RASP安全系统可应用于任何可注入的应用程序,可处理绝大多数网络协议:HTTP、HTTPS、AJAX、SQL与SOAP。而WAF只支持监控网络流量提供保护Web应用程序(HTTP)。此外,WAF应用程序使用的其他网络协议需要特定的分析器、协议分析工具或其他组件,这将导致一些兼容性和性能问题。

RASP利益(四):更全面的保护

WAF它在分析和过滤用户输入和检测有害行为方面更有效,但没有办法检查应用程序的输出。RASP它不仅可以监控用户输入,还可以监控应用程序组件的输出RASP具有全面保护能力。RASP可以定位解决方案WAF无法检测到的严重问题——异常未处理、会话劫持、权限提升、敏感数据披露等。Gartner分析师Joseph清楚地描述了这一点。

RASP缺点(一):部署困难,需要单独部署

RASP对于应用程序,每个应用程序都需要单独部署和安装。与硬件防火墙不同,只需在入口处部署即可。这一特点增加了部署的难度,可能导致风险防范不完整

RASP缺点(二):可能影响服务器性能

对系统性能的影响,RASP实时拦截和深入检测用户数据流对准确性和误判率有很大帮助,但对用户性能有一定影响。这些性能消耗也必然影响用户体验,也影响企业客户部署RASP原因很大RASP大多数供应商在优化方面做出了巨大的努力RASP对性能的影响约为5%

最后使用RASP它并不是真正建立一个安全的应用程序,而是存在系统中的漏洞RASP在临时提供虚拟补丁修补上已知的漏洞时,不需要RASP这些漏洞仍然存在RASP也不能修复所有的漏洞,漏洞总是在更新。企业应该这样做RASP结合扫描工具会更有价值。RASP软件提供商还应提供实时漏洞更新功能,实现零日攻击防御。

五、Web畅想/p>

传统的Waf目前大部分都是基于规则库来识别恶意攻击请求的RASP技术,也用规则来实现,只是RASP通过更多的维度来识别攻击,做了更多的其他尝试。

关于WAF为了实现保护,我们应该做更多的技术尝试。未来的保护应研究以下技术方向:

1.机器学习

利用SVM、HMM、贝叶斯分类,HMM等待算法进行大量样本训练,以识别正常请求和攻击请求,从而实现安全防护

2.词法分析

通常,用户通常会传输正常数据,攻击者会使用各种攻击技术来实现攻击的目的。此时,请求句必须包含特定的攻击载荷。通过对用户请求的相应分析和编译,如果用户传输的数据被分析到相应的层,如数据库层(SQL)、代码层(PHP/JAVA/.NET)、浏览器层(Javascript),说明是恶意请求

3.行为识别

一般来说,正常用户的行为是束缚、统一和不变的,而攻击者的行为是一些罕见的行为,如执行命令、大量请求数据和下载敏感文件。此时,我们可以通过监控一个请求进入容器进行响应,然后根据白名单和黑名单定义行为是否恶意来识别攻击行为

4.大数据关联分析

在一般的保护系统中,一般都有信息孤岛,每个维度的数据不相互关联。我们可以建立一个相关的分析系统Web应用日志、Web收集容器日志、数据库日志、代码执行链等各级信息进行相关分析,实现恶意行为识别

六、总结

在安全防护体系中,Waf单一的安全产品作为安全前线的第一道保护,并不能从本质上解决安全问题,Waf它只起到缓解的作用。在实际场景中,系统中的每个过程都应该做相应的工作。

微云网络Web防火墙(云WAF),对网站或者APP恶意识别和保护业务流量,并将正常和安全的流量返回服务器。避免恶意入侵网站服务器,确保业务核心数据安全,解决恶意攻击引起的服务器性能异常问题。详情请咨询微云网络客服400-0289-798。

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

本站原创内容未经允许不得转载,或转载时需注明出处:https://news.kd010.com/hlw/12836.html

TAG标签:

相关推荐

返回顶部