自建WAF经历
犹记得作为信息类网站运维,总是会被各种不同目的的爬虫、采集器等不断的抓取或恶意访问,这些会让网站不堪重负,导致页面无法正常访问,极大的影响用户体验。但公司既没有购置专业的安全设备、云防护等,也无法聘请昂贵的安全团队。
在这种孤立无援的情况下,作为运维管理人员,只能凭借着自身扎实的技术功底,另辟蹊径。经过深思熟虑和多番调研,决定基于Nginx+Lua自建WAF。
功能实现
结合日常流量的统计分析,我们计划从以下几方面入手进行限流:
- 黑白名单
对于三方合作渠道的IP加入白名单,没有规则策略;
通过分析日常流量,将异常行为的IP加到黑名单,前端直接返回403;
- 最大访问量
对于不在白名单内的IP,每个IP的每天访问量在正常情况下应该是要有上限的,为避免IP过量访问进行限制;
- 人机验证
对于不在白名单内的IP,每个IP在一定周期内的访问量超限,需跳转至验证码页进行人机验证;
如果验证码页验证次数超限,则认定为暴力破解,将IP进行封禁一段间;
暴力破解的IP封禁超时后,重新解禁,再次访问将重新认证;
- 反查域名
对于冒充搜索引擎试图跳过访问策略的请求,我们将进行域名反查;
确定是否为真正的爬虫,若为搜索引擎则加入白名单;
痛点
经过长时间的流量分析、攻防实战,自建的WAF虽然在一定程度上防住了恶意访问,但仍存在诸多痛点:
规则更新与维护难:需投入大量人力和时间分析流量,编写新规则,稍有疏忽就可能使系统暴露在新威胁下。
新型攻击识别困难:传统基于规则的匹配,难以有效识别和阻断海量IP地址池的多源低频攻击等情况。
逻辑漏洞防御乏力:对于越权操作、模拟登录等业务逻辑漏洞攻击,难以仅从流量和请求特征中识别。
正所谓“道高一尺,魔高一丈”,过于严格的策略会“伤敌一千,自损八百”,无法要找到一个合适平衡点。
雷池:WAF新范式
正是有了这份痛苦的经历,当社区老师和交流群的小伙伴推荐雷池WAF后,才会非常渴望地去探索下这个WAF新范式带给我们的惊喜。
★ 雷池WAF,作为一款新一代的Web应用防火墙,以其强大的动态防护能力,为网站安全筑起了一道坚实的防线。”
雷池通过过滤和监控Web应用与互联网之间的HTTP流量来保护 Web 服务。
一、轻松上手、躺平管理
雷池WAF支持自动、手动、离线环境三种方式安装:
一键安装,容器式管理,适配多种运行环境
配置开箱即用,无需大量调整繁琐规则
简洁操作,专为社区设计
相较于手搓Nginx+Lua环境下的黑屏操作,雷池的管理控制台涵盖了整体状态展示、关键指标呈现、防护站点管理、攻击事件监控、访问控制、系统设置等多维度的数据管理。
二、语义分析、无所遁形
雷池WAF首创的语义分析算法突破传统规则算法的极限,精准检测、低误报、难绕过。
国内首创、业内领先的智能语义分析算法
基于代码的理解,防御 0day 攻击
多维度 Web 应用防护
image.png
三、数据先行、防护全面
开源WAF测试工具BlazeHTTP对雷池进行防护效果测试,在准确率、检出率、漏报率、误报率方面,雷池WAF的总体表现还是非常稳定的。
WAF
准确率
检出率
漏报率
误报率
雷池-个人版-平衡防护
99.45%
71.65%
28.35%
0.07%
雷池-个人版-高强度防护
99.38%
76.17%
23.83%
0.22%
雷池-专业版-高强度防护
99.66%
90.68%
9.32%
0.07%
CloudFlare
98.40%
10.70%
89.30%
0.07%
ModSecurity-L1
82.39%
82.26%
17.74%
17.61%
ModSecurity-L4
48.32%
96.77%
3.23%
52.49%
雷池出击
通过对雷池WAF的部署、核心能力、防护效果的了解,我们基本上摸清了雷池的基本盘。针对自建WAF的痛点,雷池通过其智能化、高性能和易用性的特点,能够很好地解决,为我们提供高效、安全的Web应用防护方案。
一、数据大屏,保驾护航
自建WAF由于缺乏系统性整体建设,因此在数据统计展示方面是很大的一块短板,而运维监控大屏作为运维团队“指挥中心”,融合了实时数据展示、多维度数据聚合,是系统可靠性保障的重要一环,因此我们亟需WAF以大屏展示的形式及时发现异常访问,以便快速响应。
雷池WAF的数据统计可以展示请求数、拦截量、错误量、QPS等多种关键指标,并且将这些数据以图形化的方式直观的展示,为我们保驾护航。
二、动态防护,防患于未然
相对于传统规则依赖预设的特征库或规则库,我们需要基于各种信息持续关注各种新的攻击特征,虽然能够在一定程度上检测出已知的攻击模式,但在面对不断演变的网络攻击手段时,往往疲于奔命,显得力不从心。
正是因为关注到这一点,雷池WAF的核心能力,他不再使用简单的攻击特征去匹配流量,而是去真正理解流量中的用户输入,通过对HTTP的载荷内容进行深度解码后,按照其语言类型匹配相应语法编译器,进而匹配威胁模型得到威胁评级,阻断或允许访问请求。
1.阻断 Web 攻击
可以防御所有的Web攻击,例如 SQL 注入、XSS、代码注入、操作系统命令注入、CRLF 注入、XXE、SSRF、路径遍历 等等。
2.限制访问频率
限制用户的访问速率,让Web服务免遭 CC 攻击、暴力破解、流量激增 和其他类型的滥用。
3.人机验证
互联网上有来自真人用户的流量,但更多的是由爬虫, 漏洞扫描器, 蠕虫病毒, 漏洞利用程序等自动化程序发起的流量,开启雷池的人机验证功能后真人用户会被放行,恶意爬虫将会被阻断。
4.身份认证
雷池的”身份认证”功能可以很好的解决 “未授权访问” 漏洞,当用户访问您的网站时,需要输入您配置的用户名和密码信息,不持有认证信息的用户将被拒之门外。
5.动态防护
在用户浏览到的网页内容不变的情况下,将网页赋予动态特性,对HTML和 JavaScript代码进行动态加密,确保每次访问时这些代码都以随机且独特的形态呈现。
三、证书管理,意想不到
记得曾在《Https证书的过期巡检监控》一文中提到过证书的管理可能是运维比较薄弱的环节,但是在雷池WAF中竟然将这个短板补齐了。
雷池WAF的证书管理主要体现在以下几方面:
申请免费证书
上传已有证书
证书过期提醒
证书续期
另外,雷池WAF 还可以和长亭百川云SSL证书服务,实现SSL证书的一站式管理。
四、产品联动,安全防护
雷池WAF除了丰富的安全防护功能外,还可以与其他产品联动,构建全方位的安全防护体系。例如:
Syslog外发:将雷池WAF的日志信息同步到日志分析系统,便于安全人员进行威胁分析和溯源。
Apisix流量转发:内置长亭雷池 WAF 插件,在启用 chaitin-waf 插件后,流量将被转发给长亭 WAF 服务,用以检测和防止各种 Web 应用程序攻击,以保护应用程序和用户数据的安全。
百川网站监测:支持检测网站可用性、访问速度、HTTPS证书、网页被篡改等。
等等
结语
雷池WAF作为一款功能强大、易于使用的Web应用防火墙,其动态防护机制能够有效应对爬虫、扫描器等自动化工具的威胁。如果你正在寻找一款可靠的网站安全解决方案,雷池WAF绝对是一个值得考虑的选择。
声明:文中观点不代表本站立场。本文传送门:https://eyangzhen.com/425275.html
