網絡安全設備： WAF Draft 0 個改進

WAF又稱Web應用防火墻，通過對HTTP(S)請求進行檢測，識別并阻斷SQL注入、跨站腳本攻擊（Cross Site Scripting xss）、網頁木馬上傳、命令/代碼注入、文件包含、敏感文件訪問、第三方應用漏洞攻擊、CC(挑戰黑洞)攻擊、惡意爬蟲掃描、跨站請求偽造等攻擊，保護Web服務安全穩定。

特點

異常檢測協議

Web應用防火墻會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求。并且，它也可以只允許HTTP協議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些Web應用防火墻還可以嚴格限定HTTP協議中那些過于松散或未被完全制定的選項。

黑客攻擊網絡或服務器的各種方法和手段

增強的輸入驗證

增強輸入驗證，可以有效防止網頁篡改、信息泄露、木馬植入等惡意網絡入侵行為。從而減小Web服務器被攻擊的可能性。

環境部署結構圖 TecNova-WAF部署拓撲

及時補丁

，是Web應用開發者最頭痛的問題，沒人會知道下一秒有什么樣的漏洞出現，會為Web應用帶來什么樣的危害。WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內屏蔽掉這個漏洞。當然，這種屏蔽掉漏洞的方式不是萬無一失。

基于規則的保護和基于異常的保護

基于規則的保護可以提供各種Web應用的安全規則，WAF生產商會維護這個規則庫，并時時為其更新。用戶可以按照這些規則對應用進行全方面檢測。還有的產品可以基于合法應用數據建立模型，并以此為依據判斷應用數據的異常。但這需要對用戶企業的應用具有十分透徹的了解才可能做到，可現實中這是十分困難的一件事情。

狀態管理

WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態管理模式還能檢測出異常事件（比如登陸失敗），并且在達到極限值時進行處理。這對暴力攻擊的識別和響應是十分有利的。

其他防護技術

WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數據帶來的問題。比如：隱藏表單域保護、抗入侵規避技術、響應監視和信息泄露保護。

配置規則

打開 /www/server/nginx/waf 目錄，里面的 config.lua 文件就是waf防火墻的配置文件 。每一項的具體含義如下所示：

RulePath=”/www/server/panel/vhost/wafconf/”–waf 詳細規則存放目錄（一般無需修改）

attacklog =“on”–是否開啟攻擊日志記錄(on 代表開啟，off 代表關閉。下同)

logdir =”/www/wwwlogs/waf/”–攻擊日志文件存放目錄（一般無需修改）

UrlDeny=“on”–是否開啟惡意 url 攔截

Redirect=“on”–攔截后是否重定向

CookieMatch=“off”–是否開啟惡意Cookie攔截

postMatch=“off”–是否開啟 POST 攻擊攔截

whiteModule=“on”–是否開啟 url 白名單

black_fileExt={“php”,“jsp”}–文件后綴名上傳黑名單，如有多個則用英文逗號分隔。如：{“后綴名1”,“后綴名2”,“后綴名3”……}

ipWhitelist={“127.0.0.1”}–白名單 IP，如有多個則用英文逗號分隔。如：

{“127.0.0.1”,“127.0.0.2”,“127.0.0.3”……}下同

ipBlocklist={“1.0.0.1”}–黑名單 IP

CCDeny=“off”–是否開啟 CC 攻擊攔截

CCrate=“300/60”–CC 攻擊攔截閾值，單位為秒。”300/60″代表60秒內如果同一個 IP 訪問了300次則拉黑

配置文件中，RulePath 項對應的文件夾里存放的是具體的攔截規則。文件夾下有著相關的規則文件。作用解析如下：

args –GET 參數攔截規則

blockip –無作用

cookie –Cookie攔截規則

denycc –無作用

post –POST 參數攔截規則

returnhtml –被攔截后的提示頁面（HTML）

url –url 攔截規則

user-agent –UA 攔截規則

whiteip –無作用

whiteurl –白名單網址

編譯系統

Waf Build Tool

是基于python的開源編譯系統，