如何打造一款可靠的WAF
之前寫了一篇《WAF防御能力評測及工具》 ,是站在安全運維人員選型WAF產品的角度來考慮的(優先從測試角度考慮是前職業病,畢竟當過3年游戲測試!)。本篇文章從WAF產品研發的角度來YY如何實現一款可靠的WAF,靈感來自ModSecurity等,感謝開源。
本片文章包括三個主題
(1) WAF實現
WAF包括哪些組件,這些組件如何交互來實現WAF防御功能
(2)WAF規則(策略)維護
規則(策略)如何維護,包括獲取渠道,規則測試方法以及上線效果評測
(3) WAF支撐
WAF產品的完善需要哪些信息庫的支撐
一、WAF實現
WAF一句話描述,就是解析HTTP請求(協議解析模塊),規則檢測(規則模塊),做不同的防御動作(動作模塊),并將防御過程(日志模塊)記錄下來。 不管硬件款,軟件款,云款,核心都是這個,而接下來圍繞這句話來YY WAF的實現。 WAF的實現由五個模塊(配置模塊、協議解析模塊、規則模塊、動作模塊、錯誤處理模塊)組成
1. 配置模塊
設置WAF的檢測粒度,按需開啟,如圖所示
2. 協議解析模塊(重點)
協議解析的輸出就是下一個模塊規則檢測時的操作對象,解析的粒度直接影響WAF防御效果。對于將WAF模塊寄生于web 服務器的云WAF模式,一般依賴于web 服務器的解析能力。
3. 規則模塊(重點)
重點來了,這塊是WAF的核心,我將這塊又細分為三個子模塊。
(1) 規則配置模塊
IP黑白名單配置、 URL黑白名單配置、以及挑選合適的規則套餐。
(2)規則解析模塊
主要作用是解析具體的規則文件,規則***采用統一的規則描述語言,便于提供給第三方定制規則,ModSecurity這方面做得非常優秀。
規則文件由四部分組成,分為變量部分、操作符部分,事務函數部分與動作部分。
(3)規則檢測模塊
上一步我們設置了各種變量,接下來就是按照一定的邏輯來做加減乘除了。
4. 動作模塊(重點)
通過規則檢測模塊,我們識別了請求的好惡,接下來就是做出響應,量刑處理,不僅僅是攔截。
5. 日志模塊(重點)
日志處理,非常重要,也非常火熱,內容豐富到完全可以從WAF獨立出來形成單獨的安全產品(e.g.日志寶)而采用提供接口的方式來支撐WAF。對于數據量巨大的云WAF,都會有單獨的大數據團隊來支撐架構這一塊,包括數據存儲(e.g. hdfs) ,數據傳輸(kafka),數據離線分析(hadoop/spark),數據實時分析(storm),數據關聯分析(elasticsearch)等等,以后另開一篇單獨說明。
6. 錯誤處理模塊
以上模塊運行錯誤時的異常處理
二、WAF規則(策略)維護
三、WAF支撐信息庫
以上支撐庫幾乎所有的安全人員都在重復地做,而資源沒有共享的原因,一是內部不可說;二是沒有采取統一的描述語言無法匯合,唉,安全從業人員的巴別塔。
四、補充知識(包括文章與代碼)
想想寫了這么多文章,自我感覺萌萌噠!
WAF相關
ModSecurity相關文章(我就是ModSecurity的死忠粉)
[科普文]ubuntu上安裝Apache2+ModSecurity及自定義WAF規則
ModSecurity SecRule cheatsheets
ModSecurity CRS 筆記、WAF防御checklist,及WAF架構的一些想法
ModSecurity 晉級-如何調用lua腳本進行防御快速入門
指紋識別
IP相關
使用免費的本地IP地理庫來定位IP地理位置-GeoIP lookup
獲得IP的地理位置信IP Geolocation及IP位置可視化
代理類型判斷腳本 Proxy探測腳本與HTTP基本認證暴力破解腳本
CDN架構
正則優化
NFA引擎正則優化TIPS、Perl正則技巧及正則性能評測方法
HTTP發包工具
參考:
第八、九、十,十一我是反復看,每次都有新的靈感,第14、15章是當成新華字典看的,以免遺忘。
《 Web Application Defenders Cookbook Battling Hackers and Protecting Users 》 (紅寶書,還在看)
原文地址:http://danqingdani.blog.163.com/blog/static/1860941952014101723845500/
