Web应用防火墙--规则防护

web,应用,防火墙,规则,防护 · 浏览次数 : 42

小编点评

**Web 应用防火墙** **功能:** * 对网站、APP的业务流量进行安全识别。 * 对恶意流量进行分析和处理。 * 将正常安全流量回源到业务服务器。 **检测手段:** * **规则检测:** 通过正则表达式或组合规则来检测攻击。 * **AI检测:** 通过 AI 机器学习或深度学习算法检测攻击。 * **语义检测:** 通过语法及词法分析检测攻击。 **公有云的特点:** * 多行业的用户,业务场景多样,需要个性化的防护规则。 * 规则集合可根据场景定制。 **针对公有云多态、复杂的业务场景的解决方案:** * **默认规则组:** 全面的安全防护。 * **规则组分级:** 动态调整规则组,满足不同场景需求。 * **自定义规则组:**针对特定需求定制防护规则。 * **误报处理:** 白名单对请求特征加白或去除误报规则。 **规则检测引擎主要特性:** * 实时全面检测 HTTP 报文,跨包流量无遗漏检测。 * 自适应内容解析,提升检测准确率。 * 自适应解码,提高检测召回率。 * 支持 HPP 参数污染及依赖注入攻击防护。

正文

一、什么是Web应用防火墙?

Web应用防火墙对网站、APP的业务流量安全及合规性保护,对业务流量的识别恶意特征提取、分析识别出恶意流量并进行处理, 将正常安全的流量回源到业务服务器, 保护网站核心业务和数据安全。

京东云Web应用防火墙的产品架构示意图如下:

二、Web攻击常见的检测手段?

Web攻击常见的三种检测手段,规则检测、AI检测或语义检测。

1.规则检测:效率高、识别精准度高。其表现形式是正则表达式,通过正则表达式或组合来检测攻击,例如:OWASP Top10十大安全漏洞,也有与其对应的规则集合 owasp top10 rules set,通过规则拦截恶意攻击已经是各大厂商的主流检测手段。目前各大WAF厂商都有自己的安全规则集合。

2.AI检测:通过AI机器学习或深度学习算法来检测Web攻击, 能检出未知威胁, 缺点检测效率低,一般用于离线检测,误报率相对较高, 具体取决于算法模型及训练样本等。

3.语义检测:通过对SQL或XSS注入进行语法及词法分析来检测攻击, 鉴于算法特点, 误报率较高,一般用于告警, 不直接拦截业务请求。

三、公有云上用户及业务场景的特点

公有云上的用户包含各个行业,业务场景具有多样性和复杂性的特点,例如:电商和政务云都是公有云的常见客户,通用的规则集合可以有效满足用户的防护需求, 但针对特点活动场景,例如优惠券活动、重点场景需要针对性定制不同的防护规则集合, 以满足特殊场景下防护需求。

四、针对公有云多态、复杂的业务场景的解决方案

1.默认规则组: 采用规则组集合的方式进行全面安全防护。

2.规则组分级: 规则组级别分为宽松、正常、严格,用以满足不同场景或同一场景不同时期的需求。

3.自定义规则组:定制化的防御策略组,针对复杂,特定需求的业务场景,例如:专门针对SQL注入自定义规则组,在选择规则时只选择SQL注入类的规则。

4.误报处理:通过白名单对请求特征加白或在自定义规则组中去掉误报的规则来处理误报。

4.1 默认规则组

Web应用攻击防护引擎基于内置的专家经验规则集,自动为网站防御SQL注入、XSS跨站,webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。

4.2 规则组分级

规则组级别分为宽松、正常、严格,用以满足不同场景或同一场景不同时期的需求。

例如在平时我们将规则组设置为正常级别, 但是在重保时期可以将规则组提升为严格级别,从而来阻断更多的攻击风险。

正常级别:检测常见的Web应用攻击(默认选择)。

严格级别:当您需要更严格地防护路径穿越、SQL注入、命令执行时,建议选择此等级。

宽松:当发现存在较多误拦截,或者业务存在较多不可控的用户输入时,可以选择此等级。

4.3 自定义规则组

定制化的防御策略组,针对复杂,特定需求的业务场景,例如:专门针对SQL注入自定义规则组,在选择规则时只选择SQL注入类的规则。

例如:

选择一个规则组模板,之后对模板内的规则进行删除,或添加新的规则到规则组中;

已选择的安全规则

未添加的安全规则

4.4 解决业务误报

4.4.1 自定义规则组

通过自定义规则组除去误报规则的方式来解决误报问题。

4.4.2 白名单加白

基于请求特征对误报流量加白, 加白后的流量会被WAF bypass,从而解决误报问题。

五、京东云WAF规则检测引擎主要特性

1.实时全面检测http报文,且跨包流量无遗漏检测;

2.自适应内容解析:自适应解析JSON、XML、Multipart等数据格式,提升检测的准确率;

3.自适应解码:包括URL、HTML、Base64、Unicode、十六进制、二进制等多种格式解码,提高检测的召回率;

4.支持HPP参数污染及依赖注入攻击防护,自适应SQL、XSS去注释。

作者:京东科技 范朋飞

来源:京东云开发者社区 转载请注明来源

与Web应用防火墙--规则防护相似的内容:

Web应用防火墙--规则防护

Web应用防火墙对网站、APP的业务流量安全及合规性保护,对业务流量的识别恶意特征提取、分析识别出恶意流量并进行处理, 将正常安全的流量回源到业务服务器, 保护网站核心业务和数据安全。

RCE(Pikachu)

作用 可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 原理 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上 一般会给用户提供一个ping操作的web界面,用

Django 安全性与防御性编程:如何保护 Django Web 应用

title: Django 安全性与防御性编程:如何保护 Django Web 应用 date: 2024/5/13 20:26:58 updated: 2024/5/13 20:26:58 categories: 后端开发 tags: CSRF XSS SQL Upload HTTPOnly Pa

开源API越权漏洞检测系统推荐:IDOR_detect_tool

相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢? Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损。 而在Web应用的安全问题中,最常见的漏

盘点 Spring Boot 解决跨域请求的几种办法

熟悉 web 系统开发的同学,对下面这样的错误应该不会太陌生。 之所以会出现这个错误,是因为浏览器出于安全的考虑,采用同源策略的控制,防止当前站点恶意攻击 web 服务器盗取数据。 01、什么是跨域请求 同源策略,简单的说就是当浏览器访问 web 服务器资源时,只有源相同才能正常进行通信,即协议、域

Web应用怎样获取Access Token?

1.在联盟创建服务器应用 参考文档:开发准备 2.获取用户级Access Token 2.1 获取code 参考文档:接入华为帐号获取凭证 2.1.1 先按照跳转链接进行配置url https://oauth-login.cloud.huawei.com/oauth2/v3/authorize? r

详解Web应用安全系列(8)不足的日志记录和监控

在Web安全领域,不足的日志记录和监控是一个重要的安全隐患,它可能导致攻击者能够更隐蔽地进行攻击,同时增加了攻击被检测和响应的难度。以下是对Web攻击中不足的日志记录和监控漏洞的详细介绍。 一、日志记录不足的问题 日志缺失或不完整 关键操作未记录:如用户登录、敏感数据访问、系统管理员操作等关键操作未

详解Web应用安全系列(5)敏感数据泄露漏洞

在最近几年,这是最常见的,最具影响力的攻击。这个领域最常见的漏洞是不对敏感数据进行加密。在数据加密过程中,常见的问题是不安全的密钥生成和管理以及使用弱密码算法,弱协议和弱密码。特别是使用弱的哈希算法来保护密码。在服务端,检测数据传输过程中的数据弱点很容易,但检测存储数据的弱点却非常困难。 敏感数据泄

详解Web应用安全系列(4)失效的访问控制

在Web安全中,失效的访问控制(也称为权限控制失效或越权访问)是指用户在不具备相应权限的情况下访问了受限制的资源或执行了不允许的操作。这通常是由于Web应用系统未能建立合理的权限控制机制,或者权限控制机制失效所导致的。 危害 数据泄漏:攻击者可能通过越权访问获取敏感数据,如用户个人信息、财务数据、家

详解Web应用安全系列(3)失效的身份认证

大多数身份和访问管理系统的设计和实现,普遍存在身份认证失效的问题。会话管理是身份验证和访问控制的基础,并且存在于所有有状态的应用程序中。攻击者可以使用指南手册来检测失效的身份认证,但通常会关注密码转储,字典攻击,或者在类似于钓鱼或社会工程攻击之后,发现失效的身份认证。 确认用户的身份,身份验证和会话