应用防火墙WAF架构分类

本文涉及的产品
注册配置 MSE Nacos/ZooKeeper,118元/月
云原生网关 MSE Higress,422元/月
可观测监控 Prometheus 版,每月50GB免费额度
简介: 【7月更文挑战第10天】Web Application Firewall (WAF) 是用于保护Web应用的系统,通过HTTP/HTTPS流量规则阻止入侵。

应用防火墙(Web Application Firewall, WAF)是Web应用防护系统,也称“网站应用级入侵防御系统”。通过针对基于HTTP/HTTPS协议的流量建立检测或拦截规则,实现安全防护的目的。

WAF架构根据部署方式的不同,通常分为cname部署、module部署、网络层部署。也有部分公司根据自身需要实施混合部署与运营的架构,这通常需要一定的架构设计和开发能力,包括业务方的配合。国外几款商业产品的WAF支持导入证书的方式来解决HTTPS环境的安全防护,通常国内各甲方安全团队自研WAF产品基本不支持HTTPS。

1、cname部署

只需将域名Cname方式解析指向WAF产品分配的cname别名就完成了部署。对于用户来说,整个WAF的防护和运营几乎是透明的。


cname方式最大的优势就是部署方便快速,且理论上还有加速网站性能还和阻断DDoS攻击等效果,实现了安全防护和性能优化双重目标。但其缺陷也是非常明显的,HTTPS流量是无法防护的,因为中间代理无法解析请求内容,进而无法对其攻击负载做检测与防护。

2、module部署

module部署的WAF典型产品是开源软件ModSecurity。最初ModSecurity是基于Apache httpd上的module开发出来的,针对HTTP/HTTPS协议攻击做检测和防护的开源产品。现在已经衍生出IIS版和Nginx版。


这种部署方式相比cname方式麻烦得多,需在webserver部署\编译时支持modules,编译完ModSecurity模块之后,修改webserver配置文件生效。它通常默认就已经有大量的安全策略规则,但如果全启用,一方面性能消耗很大,另一方面也未必适用于自身环境安全问题。所以后续还要对规则进行优化精简和按需增加,对运营人员的要求相对较高。


基于业务环境webserver功能的不同,还出现了一些非典型不知名的简易WAF类产品,这些相对小众,也可能是企业安全团队自身开发和运营的。例如基于Nginx的LUA脚本开发的WAF,基于IIS筛选器开发的WAF。理论上成熟的webserver均有module等二次开发接口,均可以按需开发建设相应WAF类功能产品。


Module WAF在应对HTTPS类业务时非常适用,缺点是产品开发与运营成本非常高。部署过程需要业务中断且运营人员工作量较大,需逐台Server部署,对于规则的运营也需要投入大量人力。所以适合有一定开发和运营能力,且业务规模较小的公司。

3、网络层部署

此类WAF产品是最易部署的方式,它可部署在机房或某被防护的网络入口位置。这不同于其他几类,它的部署和运营可以算是真正的透明。不需要对业务有太多侵入与变更,特别适合互联网公司变更多、架构复杂的环境。


它的缺点明显,对于HTTPS协议无能为力。优势也明显,无侵入性,易部署。不影响业务性能,可旁路接入,通过RESET包阻断HTTP会话。

4、混合型WAF架构

为满足业务的多样性架构的灵活性,很多大型互联网公司还建立了混合型的WAF集群。可以通过前述几类WAF的组合,实现相互补防覆盖不到的地方,真正实现无死角防守。

相关文章
|
5月前
|
安全 Linux 应用服务中间件
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
|
2月前
|
SQL 安全 网络安全
Web应用防火墙(WAF)与数据库应用防火墙有什么区别?
Web应用防火墙(WAF)专注于Web应用系统和网站的应用层防护,可有效应对OWASP Top 10等常见攻击,防止SQL注入、CC攻击等。而数据库应用防火墙则位于应用服务器与数据库之间,提供数据库访问控制、攻击阻断、虚拟补丁等高级防护功能,直接保护数据库免受攻击。两者分别针对Web层和数据库层提供不同的安全保护。
49 4
|
5月前
|
SQL 监控 安全
|
7月前
|
存储 负载均衡 应用服务中间件
Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护
Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护
124 1
|
8月前
|
SQL 监控 安全
【阿里云云原生专栏】云原生安全体系构建:阿里云云防火墙与WAF的应用
【5月更文挑战第27天】阿里云云防火墙和WAF是构建云原生安全体系的关键产品,提供网络、主机和Web应用多维度防护。云防火墙采用分布式架构抵御网络攻击,确保应用安全稳定;WAF专注Web应用安全,防止SQL注入、XSS和DDoS等威胁。简单部署配置,结合使用可实现全面安全防护,提升企业云上应用安全性,保障业务安全运行。未来,阿里云将持续强化云原生安全建设。
362 1
|
云安全 负载均衡 网络协议
阿里云waf简介和如何配置​
阿里云WAF(Web应用程序防火墙)是一种高效、智能的云安全服务,旨在保护Web应用程序免受各种网络攻击的威胁。它可防止诸如SQL注入、跨站点脚本(XSS)和跨站点请求伪造(CSRF)等攻击,有效保障了Web应用程序的安全性与稳定性。 阿里云WAF在Web应用程序与互联网之间构建一道安全屏障,通过拦截和检测恶意流量,防止攻击者对您的Web应用程序进行攻击。它不仅覆盖了常见的网络攻击类型,还针对新兴的攻击手段进行了防护设计,确保您的Web应用程序在面对各种威胁时都能得到全方位的保护。
|
弹性计算 缓存 运维
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
【运维知识进阶篇】用阿里云部署kod可道云网盘(DNS解析+CDN缓存+Web应用防火墙+弹性伸缩)(三)
237 0
|
6月前
|
安全 API 开发者
|
8月前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
应用服务中间件
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
阿里云的WAF(Web应用防火墙)3.0的虚拟代理
217 2