看了产品介绍，还是不太明白，有没有专家帮助解答下？另外，Anti-DDOS超过5G流量就拒绝流量访问，是否对业务有影响？也就是说，不敢用免费的Anti-DDOS？

WAF的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。WAF是通过检测应用层的数据来进行访问控制或者对应用进行控制，而传统防火墙对三、四层数据进行过滤，从而进行访问控制，不对应用层数据进行分析。防火墙、IDS和IPS之间有什么区别?现在市场上的主流网络安全产品可以分为以下几个大类：基础防火墙类：主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理等，其主要功能实现是限制对IP:port的访问。解决传统防火墙只能工作在4层以下的问题。基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略。IDS类(入侵检测系统(IDS:Intrusion Detection Systems))：此类产品基本上以旁路为主，特点是不阻断任何网络访问，主要以提供报告和事后监督为主，少量的类似产品还提供TCP阻断等功能，但少有使用。IPS类(入侵防御系统(IPS:Intrusion Prevention System))：解决了IDS无法阻断的问题，基本上以在线模式为主，系统提供多个端口，以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容。和IDS一样，IPS也要像防病毒系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问。主动安全类，和前面的产品均不同，主动安全产品的特点是协议针对性非常强:WAF就是专门负责HTTP协议的安全处理，能够在应用层对攻击进行有限抵抗。

华为云Web应用防火墙WAF对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,全面避免网站被黑客恶意攻击和入侵。采用规则和AI双引擎架构，默认集成华为最新防护规则和优秀实践；企业级用户策略定制，支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等，防护更精准。WAF基本工作原理WAF的防护原理是通过改变用户域名的DNS解析地址来将Web流量牵引到华为云的WAF引擎集群，经过检测后再回源至真正的Web服务器。Web防火墙产品部署在Web服务器的前面，串行接入，对硬件性能上要求高，但得益于云上WAF性能可弹性伸缩的特点，通过负载均衡相当于性能是无上限的。另外，为了不影响Web服务，还提供了Bypass等功能。WAF提供了多种防护能力，包括OWASP常见攻击（SQL注入、XSS跨站脚本等）恶意扫描、爬虫泄密、网站挂马、CC攻击、0-Day漏洞防御&异常行为检测等，帮助客户轻松抵御常见Web攻击。同时，部分业界知名的WAF内置规则+AI双引擎，并且集成了多种领先的检测算法和功能，威胁检出率超过95%以上。基于规则的WAF当前市场上waf产品核心的防护机制是“规则”，每一个请求、会话，经过抓包，“开包检查”，每一项规则都会检查到，一旦检查不通过，就会被认为是非法访问，拒绝处理。基于规则的WAF很容易构建并且能有效的防范已知安全问题。如果用户之前有用过传统防火墙或者自建防火墙，就可以将以前的规则设置的经验，应用到云上WAF中。因此，当我们要制定自定义防御策略时使用它会更加便捷和有效。为了确认每一个威胁的特点，需要一个强大的规则数据库支持。WAF生产商维护这个数据库，并且会提供自动更新的工具。业界领先的WAF厂商，还会结合AI能力，给用户智能开启和推荐适合的规则，提升防护效率。WAF面临的挑战WAF当前需要应对一个挑战就是入侵检测识别率的问题，这个指标不同的厂商都有不同的计算方式，并不是一个容易衡量的指标。因为从攻击者的角度，攻击是具有相当的隐蔽性的，对于网页挂马、新型病毒的植入，Web应用防火墙容易漏报误报；对于从来没有被发现过、未知的攻击方式，只能在攻击发生的初期进行快速响应，进行阻断。

网络爬虫（Web Crawler），又称网络蜘蛛（Web Spider）或网络机器人（Web Robot），是一种按照一定的规则，自动获取网页内容并可以按照指定规则提取相应内容的程序或脚本，已被广泛应用于互联网搜索领域。网络爬虫为网络信息收集与查询提供了极大的便利，但同时也对网络安全产生以下负面影响：网络爬虫会根据特定策略尽可能多的“爬过”网站中的高价值信息，占用服务器带宽，增加服务器的负载。恶意用户利用网络爬虫对Web服务发动DoS攻击，可能使Web服务资源耗尽而不能提供正常服务。恶意用户利用网络爬虫抓取各种敏感信息，造成网站的核心数据被窃取，损害企业经济利益。如果您的网站正在遭受爬虫侵扰，千万不要忍耐，是时候和爬虫来一场大战了！华为云Web应用防火墙（Web Application Firewall，WAF）通过对HTTP(S)请求进行检测，可以识别并阻断恶意爬虫扫描，让您的Web服务免受爬虫攻击，保护您的Web服务安全。只要您有域名，不管您的业务部署在云上还是云下，WAF都可以为您的业务保驾护航。使用WAF前，您需要购买WAF：戳这里，并将您的防护域名接入WAF：戳这里。反爬虫是一个复杂的过程，针对爬虫常见的行为特征，WAF反爬虫三板斧——Robot检测（识别User-Agent）、网站反爬虫（检查浏览器合法性）和CC攻击防护（限制访问频率）可以全方位帮您解决业务网站遭受的爬虫问题，协助您打赢与爬虫的持久战！还等什么，还不赶快把WAF反爬虫三板斧耍起！WAF反爬虫三板斧神器来了一板斧：开启Robot检测检测和拦截恶意爬虫、扫描器、网马等威胁。步骤 1 ：进入“域名配置”界面，在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入防护配置页面。步骤 2 ：在“Web基础防护”配置框，开启Web基础防护后，单击“高级设置”。 步骤 3 ：在Web基础防护设置页面，开启Robot检测开关。当WAF检测到恶意爬虫、扫描器等对网站进行爬取时，将立即拦截并记录该事件，您可以在“防护事件”页面查看爬虫防护日志。----结束二板斧：开启网站反爬虫动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为。 该功能依赖浏览器对javascript代码的解析，因此如果业务接口存在API调用的情况，建议不要开启该防护功能。由于CDN服务会缓存图片、静态资源等文件，如果您的业务接入了CDN服务，该特性将无法达到预期效果，并且有可能造成页面访问异常，建议不要开启该防护功能。 步骤 1 ： 进入“域名配置”界面，在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入防护配置页面。 步骤 2 ：在“网站反爬虫”配置框，开启防护。开启该防护后，非浏览器的访问将不能获取业务页面。----结束三板斧：开启CC攻击防护限制单个IP/Cookie/Referer访问者对您的网站上特定路径（URL）的访问频率，缓解CC攻击对业务的影响。步骤 1 ：进入“域名配置”界面，在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入防护配置页面。步骤 2 ： 在“CC攻击防护”配置框，开启防护后，单击“自定义CC攻击防护规则”。步骤 3 ：在“CC防护”规则配置页面左上角，单击“添加规则”。以IP限速为例，添加IP限速规则。设置成功后，当用户访问超过限制后需要输入验证码才能继续访问。----结束WAF除了反爬虫，还提供了网页防篡改、防敏感信息泄露、精准访问防护等防护功能，让您轻松应对各种Web安全风险~~更多关于WAF的功能，戳这里安全无小事，时刻需警惕。2020，华为云普惠云安全，为您的网站、主机、数据提供免费云体检，还有一站式过等保贴心指导，赶紧戳这里，了解详情吧！

ModSecurity安装传送门Ubuntu版本的可以自行搜索，网上有很多教程。本菜在云服务器上也自行安装了，浪费了很多时间在依赖包上，apt虽然用起来方便，但是有些安装编译过程所需要的依赖包很头疼。还有一些规则库的配置，默认规则库配置传送门环境：华为云鲲鹏服务器    镜像：Ubuntu 18.04 64bit ARM架构（Debian系）0x001.编译报错解决compile errors： 1.perl: warning: Falling back to a fallback locale ("en_US.UTF-8"). how to solve:     apt install locales-all 2.fatal: No names found, cannot describe anything normal.不用管 3.各种lib库依赖，apt-get下载安装即可。0x002.使用效果测试curl -H "User-Agent: Nikto" http://localhost###浏览器报错403则代表咱们的拦截规则生效了 curl -H "User-Agent: Nikto" http://localhost/ <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1>You don't have permission to access this resource.<hr> <address>Apache/2.4.29 (Ubuntu) Server at localhost Port 80</address>tail /var/log/apache2/modsec_audit.log####日志报警： message: Warning. Pattern match "^[\\d.:]+$" at REQUEST_HEADERS:Host. [file "/usr/share/modsecurity-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf"] [line "810"] [id "920350"] [rev "2"] [msg "Host header is a numeric IP address"] [data "119.3.215.40:80"] [severity "WARNING"] [ver "OWASP_CRS/3.0.0"] [maturity "9"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-protocol"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/IP_HOST"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] Apache-Error: [file "apache2_util.c"] [line 273] [level 3] [client 177.102.208.68] ModSecurity: Warning. Pattern match "^[\\\\\\\\d.:]+$" at REQUEST_HEADERS:Host. [file "/usr/share/modsecurity-crs/rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf"] [line "810"] [id "920350"] [rev "2"] [msg "Host header is a numeric IP address"] [data "119.3.215.40:80"] [severity "WARNING"] [ver "OWASP_CRS/3.0.0"] [maturity "9"] [accuracy "9"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-protocol"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/IP_HOST"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [hostname "119.3.215.40"] [uri "/"] [unique_id "XYlk5kPf9VN@f3JpMy1QXQAAABY"] Stopwatch: 1569285350814902 4609 (- - -) Stopwatch2: 1569285350814902 4609; combined=3650, p1=510, p2=803, p3=57, p4=2221, p5=58, sr=75, sw=1, l=0, gc=0 Response-Body-Transformed: Dechunked Producer: ModSecurity for Apache/2.9.2 (http://www.modsecurity.org/); OWASP_CRS/3.0.2. Server: Apache/2.4.29 (Ubuntu)上一篇帖子写的是nginx，本菜还没摸透nginx的链接，waf的规则不起作用，所以暂时只能用apache链接来测试一哈。最近有些忙，也没做多少测试。水个帖子就溜了。汪汪大大别骂我～@汪汪～

#化鲲为鹏，我有话说#来了来了，又是我。混分巨兽。这两天玩了一个WAF的开源工具，跟大家汇报一哈。其实在很多中大型网站上或多或少都会有WAF的身影比如这样：        国外比较出名的WAF像cloudFlare,也做的挺不错的。咱们之前在做CTF题目的时候也有遇到过WAF绕过的题目，简单一点的就是在注入字前添加多一点字符，最夸张的有三万多个字符的～有的人也认为waf终归不能作为防御工具，但是在我看来，WAF是有必要存在的，他的存在并不是鸡肋般尴尬的存在。他为中小型甚至大型web网站点燃了一盏明灯，其的存在对于web安全是里程碑式的存在，其作用也同样不可忽视。        这次玩的叫ModSecurity，是一款很不错的WAF开源工具，且完美和nginx兼容，所以也要用到web中间件nginx。0x001.nginx与MODSecurity1）nginx的安装apt-get install nginxcentos安装传送门:https://www.huaweicloud.com/kunpeng/software/nginx.htmlModSecurity的功能：SQL Injection (SQLi)：阻止SQL注入Cross Site Scripting (XSS)：阻止跨站脚本攻击Local File Inclusion (LFI)：阻止利用本地文件包含漏洞进行攻击Remote File Inclusione(RFI)：阻止利用远程文件包含漏洞进行攻击Remote Code Execution (RCE)：阻止利用远程命令执行漏洞进行攻击PHP Code Injectiod：阻止PHP代码注入HTTP Protocol Violations：阻止违反HTTP协议的恶意访问HTTPoxy：阻止利用远程代理感染漏洞进行攻击Shellshock：阻止利用Shellshock漏洞进行攻击Session Fixation：阻止利用Session会话ID不变的漏洞进行攻击Scanner Detection：阻止黑客扫描网站Metadata/Error Leakages：阻止源代码/错误信息泄露Project Honey Pot Blacklist：蜜罐项目黑名单GeoIP Country Blocking：根据判断IP地址归属地来进行IP阻断劣势：不支持检查响应体的规则，如果配置中包含这些规则，则会被忽略，nginx的的sub_filter指令可以用来检查状语从句：重写响应数据，OWASP中相关规则是95X。不支持OWASP核心规则集DDoS规则REQUEST-912-DOS- PROTECTION.conf,nginx本身支持配置DDoS限制不支持在审计日志中包含请求和响应主体二、安装部署测试环境：centOS7.6阿里云镜像升级软件和内核yum update安装nginx： http://nginx.org/en/linux_packages.html#mainlineyum install yum-utilsvim /etc/yum.repos.d/nginx.repo[nginx-stable]name=nginx stable repobaseurl=http://nginx.org/packages/centos/$releasever/$basearch/gpgcheck=1enabled=1gpgkey=https://nginx.org/keys/nginx_signing.key[nginx-mainline]name=nginx mainline repobaseurl=http://nginx.org/packages/mainline/centos/$releasever/$basearch/gpgcheck=1enabled=0gpgkey=https://nginx.org/keys/nginx_signing.keyyum install nginxyum install epel-releaseyum install gcc-c++ flex bison yajl yajl-devel curl-devel curl GeoIP-devel doxygen zlib-devel pcre pcre-devel libxml2 libxml2-devel autoconf automake lmdb-devel ssdeep-devel ssdeep-libs lua-devel libmaxminddb-devel git apt-utils autoconf automake build-essential git libcurl4-openssl-dev libgeoip-dev liblmdb-dev ibpcre++-dev libtool libxml2-dev libyajl-dev pkgconf wget zlib1g-dev报错解决：Error: Cannot retrieve metalink for repository: epel. Please verify its path and try again解决办法：一句话：把/etc/yum.repos.d/epel.repo，文件第3行注释去掉，把第四行注释掉，修改为1. [epel]2. name=Extra Packages for Enterprise Linux 6 – $basearch3. baseurl=http://download.fedoraproject.org/pub/epel/6/$basearch4. #mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-6&arch=$basearch克隆GitHub存储库:git clone --depth 1 -b v3/master --single-branch https://github.com/SpiderLabs/ModSecurity编译源代码：$ cd ModSecurity$ git submodule init$ git submodule update$ ./build.sh$ ./configure$ make$ make install注意：安装中有报错fatal: No names found, cannot describe anything.是正常现象下载用于ModSecurity的NGINX连接器：git clone --depth 1 https://github.com/SpiderLabs/ModSecurity-nginx.git确定哪个版本的NGINX是运行在主机上的ModSecurity模块将加载:[root@guigu ModSecurity]# nginx -vnginx version: nginx/1.17.3下载与安装版本对应的源代码：wget http://nginx.org/download/nginx-1.17.3.tar.gztar zxvf nginx-1.17.3.tar.gz编译动态模块，复制到模块标准目录:cd nginx-1.17.3#./configure --with-compat --add-dynamic-module=../ModSecurity-nginx$ make modulescp objs/ngx_http_modsecurity_module.so /etc/nginx/modules/将以下load_module指令添加到/etc/nginx/nginx.conf的main中：load_module modules/ngx_http_modsecurity_module.so;确定nginx模块加载成功：nginx -t三、防护效果测试ModSecurity 3简单示例创建Demo web应用vim /etc/nginx/nginx.confserver {listen 8085;location / {    default_type text/plain;    return 200 "Thank you for requesting ${request_uri}";    }}重新加载nginx:nginx -s reload确认nginx正常工作:curl -D – http://localhost保护Demo web应用创建/etc/nginx/modsec文件夹：mkdir /etc/nginx/modsec下载推荐的ModSecurity配置文件wget https://raw.githubusercontent.com/SpiderLabs/ModSecurity/v3/master/modsecurity.conf-recommendedmv modsecurity.conf-recommended modsecurity.confvim modsecurity.conf    #在些文件中编辑以下配置SecRuleEngine DetectionOnlySecRuleEngine On创建ModSecurity的主配置文件vim /etc/nginx/modsec/main.confInclude the recommended configurationInclude /etc/nginx/modsec/modsecurity.confd    #重新加载nginxcurl -D - http://localhost/foo?testparam=123    #能正常返回“Thank you for requesting /foo?testparam=123”curl -D - http://localhost/foo?testparam=test    #则返回"403 Forbidden"，说明前面配置的那条modsecuriy规则生效了，并阻拦了testparam参数中带test的请求在/var/log/nginx/error.log中可以看到拦截的详细日志部署OWASP规则–CRS（Core Rule Set）安装运行nikto漏洞扫描工具，用于测试CRS的防御效果git clone https://github.com/sullo/nikto    #下载niktocd nikto perl program/nikto.pl -h localhost    #用nikto扫描nginx搭建的web系统（反向代理）扫描结果是+ 7687 requests: 0 error(s) and 308 item(s) reported on remote host    #扫描出308个问题启用OWASP CRScd /etc/nginx/modsec/wget https://github.com/SpiderLabs/owasp-modsecurity-crs/archive/v3.0.2.tar.gz    #下载OWASP CRScd owasp-modsecurity-crs-3.0.2/cp crs-setup.conf.example crs-setup.conf在modsecurity主配置文件中include CRS的配置和规则vim /etc/nginx/modsec/main.confInclude the recommended configurationInclude /etc/nginx/modsec/modsecurity.confOWASP CRS v3 rulesInclude /usr/local/owasp-modsecurity-crs-3.0.2/crs-setup.confInclude /usr/local/owasp-modsecurity-crs-3.0.2/rules/*.conf测试CRSnginx -s reload    #重新加载nginx配置curl http://localhost    #返回Thank you for requesting /curl -H "User-Agent: Nikto" http://localhost    #返回403 Forbidden，说明WAF防护已经生效，此处匹配的规则是user-agent中不能包含漏洞扫描器名字perl nikto/program/nikto.pl -h localhost    #再次用nikto扫描nginx搭建的web系统扫描结果是+ 7687 requests: 0 error(s) and 83 item(s) reported on remote host    #扫描出83个问题，比308个少了很多在安装ModSecurity时，我们将演示应用程序配置为为每个请求返回状态代码200,但实际上并没有返回这些文件,Nikto将这200个状态码解释为它请求的文件确实存在,所以报告出83个问题，为了优化nikto，去除误报，我们做如下配置cp nikto/program/nikto.conf.default nikto/program/nikto.confvim nikto/program/nikto.conf    #在第76行最后加上;-sitefiles，如下所示@@DEFAULT=@@ALL;-@@EXTRAS;tests(report:500);-sitefiles之后再次用nikto扫描perl program/nikto.pl -h localhost扫描结果是+ 7583 requests: 0 error(s) and 7 item(s) reported on remote host可以看出问题只有7个问题，由于ModSecurity不支持响应（response）的检查，所以涉及此类的漏洞无法防御。但总体还是抵御了绝大部分的nikto的漏洞扫描。

CC攻击是一种成本极低的DDOS攻击方式，只要有上百个IP，每个IP弄几个进程，那么可以有几百上千个并发请求，很容易让服务器资源耗尽，从而造成网站宕机；防御CC攻击，硬件防火墙的效果不怎么明显，因为CC攻击的IP量太小，很难触发防御机制，反而是软件防火墙、WEB防火墙更容易防御。 那么，软件防火墙和WEB防火墙之间有什么区别呢?要怎么选择软件防火墙、WEB防火墙呢? 为了让大家更好地认识软件防火墙和WEB防火墙，本着已有的认识，对两者进行较为全面的的比较，或许会让大家更好地认识网站防火墙，进一步选择适合自己网站的防火墙。 从定义上来看 软件防火墙指安装在服务器上的防火墙类软件，以Windows服务器的防火墙为主，好比冰盾什么的，安装、使用流程与普通软件无异;至于Linux下面的防火墙软件，同样有不少，只是安装、使用流程更复杂而已。 WEB防火墙没有明确的定义，一般指网站应用级入侵防御系统，支持普通防火墙的功能，只是不用直接安装在服务器上，而是搭建在用户、服务器之间的线路上，直接进行应用层的防护；国内已经有不少第三方的WEB防火墙，不用修改主机环境即可直接使用。 从功能上来看 不管是什么防火墙，在拦截CC攻击时，功能都一样，通过比较TCP链接与IP的比值，进一步判断IP是否异常，再做出是否拦截的动作；至于防黑、防篡改功能，是WEB防火墙经常用来宣传的功能，不过，不少优秀的软件防火墙，同样开始具备类似的功能；从功能上来看，两者差别不大。 从上手难度来看 不管是什么用户，自然希望用更简单的方式使用防火墙；那么，软件防火墙和WEB防火墙，哪个使用起来更方便呢? 如果要使用软件防火墙，首先要有服务器控制权，必须是自己的服务器或VPS，再去下载、安装防火墙软件，安装以后按教程设置，Windows下面可能要20分钟搞定，Linux下面可能要半小时才可以搞定。总的来说，只要可以找到合适的教程，那么安装起来不是很困难。 至于WEB防火墙，一般不用在自己的服务器上安装软件，而是修改域名NS或CNAME记录，生效时间非常短，整个过程更简单;好比使用加速乐，从注册账号到正式使用，可能5分钟以内就完全搞定。 从防护力度来看 对软件防火墙而言，因为是安装在服务器上的，每次拦截攻击，都会占用服务器资源，好比CPU、内存资源;因此，软件防火墙的防护力度与服务器配置相关，一般很有限。 相较而言，WEB防火墙是一种与服务器分开的防火墙，用户遭遇的攻击不会直接反馈到服务器上，而是被拦截在防火墙服务器上，防火墙服务器的配置一般不差，性能自然要比资源较少的服务器或VPS更好。 从计费情况来看 不管是软件防火墙，还是WEB防火墙，基本上是中小网站免费使用，大网站按需付费使用;从这一点来看，两者的区别倒不是很明显，按需付费，总可以找到适合自己的防火墙。 如何选择防火墙 从上面的比较来看，WEB防火墙在资源占用、上手难度、防护力度的优势更明显，新手站长可以很快地学会使用;而软件防火墙的自定义功能更为强大，可以完全按网站的实际情况来配置，对于专业站长而言有更好的发挥余地，可以配置出非常安全的网站防火墙。 除此之外，这不是二选一的问题，如果有自己的服务器，完全可以先安装软件防火墙，随后使用第三方的WEB防火墙，双重保护更有安全感，如果不是自己服务器，建议外面找下专业的服务器租用商，避免广告嫌疑，自己去找广东纳讯网络技术有限公司，大家有更好的方案方法一起探讨。 

本期【云享专家·微话题】由云享专家 HuangJacky 与大家一起探讨“云端WAF技术”，希望大家能够畅所欲言。如果大家有其他相关的问题，也可以在本帖回复直接咨询云享专家 HuangJacky 。=======【云享专家·微话题】云端WAF技术 =======随着云计算的普及，客户更多业务迁移到云上，以往传统的配套安全服务也转变云上SaaS服务，Web应用防火墙（WAF）对业务无侵入，来划分安全和业务开发的职责，大大减轻业务安全工作量，因此成为云上客户标配安全服务之一。然而云上客户业务的多样性，流量大，这些都对云WAF提出了新的挑战。为了应对这些挑战，云WAF不断引入新的技术，比如利用机器学习打造更加智能更贴合业务的检测引擎，利用DPDK技术打造更高并发网关。我们始终相信技术创造未来，开启云WAF新时代。每个人对“云端WAF技术”都有不一样的理解，今天我们就“云端WAF技术”一起来讨论，希望看到大家精彩的评论：1. 云WAF和传统WAF的区别？2. 云WAF遇到的问题和误报？3. 机器学习和云WAF能做什么？4. 你期望云WAF应该具备哪些功能？微话题活动：参与本次微话题讨论，有机会获得优质评论奖活动时间：2018年8月20日-9月2日参与方式：直接在本帖回复你关于以上4个问题的理解或评论获奖方式：活动结束后，将由云享专家 HuangJacky 选取出3名优质评论奖，各送出《白帽子讲Web安全》书籍1本。优质评论：ecstatic：1. 云WAF和传统WAF的区别？    云WAF支持SaaS模式，安全即服务，免部署，免安装，免维护，免更新    云WAF支持双向数据流过滤机制    云WAF基于海量数据的灰度规则和智能调控    云WAF的计算能力没有限制，支持横向扩展2. 云WAF遇到的问题和误报？    安全策略拦截正常HTTP请求    安全策略放过攻击HTTP请求3. 机器学习和云WAF能做什么？    通过机器学习实现取证分析——当我们不知道发生了什么事情并将所有活动分类以找出异常值时，恶意软件分析解决方案（即恶意软件防护）可以实施它来将合法文件与异常值分开。还有就是用户行为分析。在这种情况下，应用程序用户聚集在一起，并且可以查看它们是否属于特定的组。根据他们所在的组，提供相应的有效的网络安全解决方案。4. 你期望云WAF应该具备哪些功能？    上下文理解能力    语义分析能力    机器学习能力    审计取证能力    情报能力    业务安全防护能力    协同能力建赟：1. 云WAF和传统WAF的区别？      传统WAF和基于云的WAF之间存在一些主要差异，其中最大的差异在于其部署方式不同。传统WAF在数据中心运行，或通过“基础设施即服务”(IaaS)作为虚拟机运行。而云WAF则以“软件即服务”(SaaS)的形式出售，并通过Web界面或移动应用程序进行管理。传统WAF需要你自行处理容量规划和复杂性;但是使用云WAF，这些工作都是由WAF提供商进行处理的。虽然传统WAF具有开箱即用/即插即用的政策，但是管理员可以完全控制其公司的规则。本地部署系统更具可定制性和复杂性，让管理员能够调整应用程序与WAF的交互方式。但是，这也要求企业必须对这些数据进行监控，确保其无法访问。但是，基于云的WAF却有所不同，其安全策略是由WAF提供商根据他们对威胁情况的看法进行预先定义的，以免客户得到太多误报。云WAF通常具有负载均衡，API，应用交付规则和DDoS保护等功能。但是，客户通常不具备对于预置WAF的细粒度访问权限。软件由提供者托管在数据中心中，并由提供商负责保护它们。至于究竟要选择传统WAF还是云WAF，则需要根据你的具体业务需求，以及应用程序和数据的敏感程度进行综合评估。有些企业会使用混合模式，即在本地部署硬件WAF以及在公共云中部署WAF即服务模式。例如，基于云的WAF可以放置在网络边缘，因为预先设置的WAF能够分析复杂的内部威胁情况。企业安全人员需要结合业务需求，弄清楚企业重心是否正在转向云端，以及转向云端的速度如何，当明确了企业业务发展路线之后，他们就可以决定自己想要的WAF部署模式究竟是传统WAF还是云交付的WAF。 2. 云WAF遇到的问题和误报？云WAF之弊（一）：存在轻易被绕过的风险云WAF的主要实现原理是通过将用户的DNS解析到云节点实现防护，这样一来，如果黑客通过相关手段获取了服务器的真实IP地址，然后强制解析域名，就可以轻松绕过云WAF对服务器发起攻击云Waf之弊（二）：可靠性低云WAF处理一次请求，其中需要经过DNS解析、请求调度、流量过滤等环节，其中涉及协同关联工作，其中只要有一个环节出现问题，就会导致网站无法访问。必要时，只能手动切换为原DNS来保证业务正常运行，而域名解析需要一定时间，则会导致网站短时间无法正常访问云WAF之弊（三）：保密性低网站访问数据对于一些企业、机构来说为保密数据，里面可能包含用户的隐私或者商业信息，这些数据自行管控会相对安全，但是如果使用WAF，所有的数据会记录到云端，这相当于数据被别人保管，可能存在一定的泄露风险分析利弊后，我们发现云WAF目前只适用于安全需求较低的中小型企业或者个人网站，对于安全需求较高的网站，如政府、金融、运营商等，云WAF无法满足相关要求，所以广大网站管理者，需要根据自身实际情况来选择合适的安全产品和服务 3. 机器学习和云WAF能做什么？从根本上说，机器学习算法是指机器先获得一组“教学”数据，然后被要求利用那些数据去回答问题。举例来说，你给计算机提供一组照片的教学数据，当中有的数据说“这是猫”，有的则说“这不是猫”。之后，你可以给该计算机展示一系列的新照片，接着它会开始识别哪些照片是猫，哪些不是。接着，机器学习不断扩充它的教学数据。它识别（不管准确与否）的每一张照片都会被添加到教学数据组，程序因而能够逐渐变得更加“智能”，变得更加善于完成任务。这实际上就是学习的过程，其又分为有监督的学习和无监督的学习。       云WAF目前还只适用于一些安全需求较低的中小企业网站或个人网站。对于一些安全需求较高的网站，像政府、金融、运营商等，无论从政策法规上还是业务特性上看，云WAF都无法满足要求。所以建议广大网站管理者，需要根据网站的实际情况，明确需求，选择最为合适的安全产品和服务。4. 你期望云WAF应该具备哪些功能？我理想中的WAF上下文理解能力       也就是处理能力，传统WAF对于http协议的理解主要是单向处理请求或者应答，缺乏对应http整个session行为的分析，缺乏结合上下文综合理解请求应答内容的能力，这好比盲人摸象，对于问题分析很片面。语义分析能力       华为的产品叫安全沙箱，其产品型号为FH6000,本质上是WAF具备语义识别常见的SQL、PHP、shell语言的能力，传统WAF的规则多是基于正则，说白了就是用文本的角度去理解http协议，走简单的正则匹配，理论上可以解决基于正则的规则的搂抱和误报的问题，不过也不是万能的.机器学习能力机器学习、人工智能、深度学习，这个是现如今最热门的话题。审计取证能力       以http会话作为存储单位，保存至少一个月的存储日志，完整记录请求应答内容，至少包括请求和应答的前4兆内容，支持基于常见http字段的正则查询，支持ELK那种基础的聚合、TOP、大于、小于操作等操作。情报能力威胁情报这两年一直比较火，逐渐也从概念层面过渡到实战，从IP地址库、http代理库、vpn库进步到真正是肉鸡库等，这一进步也给WAF带来了新的手段，对于大面积机器攻击行为，比如CC/DDoS肉鸡等可以做到直接封禁。业务安全防护能力业务安全的方范围非常广，我认为至少包括方面希望WAF是可以解决的：网站内容保护——反恶意抓取、垃圾信息注入、黄**毒信息注入等、主页篡改（这个对党政军用户非常非常非常重要）等高级业务逻辑CC攻击——对API接口的海量调用、例如短信接口、验证码接口、登录接口、数据查询接口等，撞库也可以算这类轻量级防**–暴力注册、刷红包、刷代金券、各种刷与其他安全设备联动能力    一个设备的功能依托与其本身物理硬件设备的配置及性能，同时其做不到全面防护，就比如一个公司，每个人不同的角色，做自己所擅长的工作，每个人都独当一面，假如所有的工作都由一个人来做，恐怕就精力不足，分身无术。我们应用到网络中也是，每个人设备做自己最擅长的工作，发现攻击等异常情况时，需要其相关设备一块解决，也就是我们经常提到的联动功能，个人认为，作为一款安全设备需要与其他设备有联动功能，比如防火墙、堡垒机等等。当然，最好是同品牌，同厂家的联动效果最好，哈哈。aprion：1. 云WAF和传统WAF的区别？这个区别其实和云主机和传统服务器的区别一个性质，关于价格、关于效率等等。2. 云WAF遇到的问题和误报？云防火墙的价格虽然相对传统服务器低很多，对于中小企业和个人站长来说还是太高。关于误报，传统和云都是相同的。这就引出下一个问题。3. 机器学习和云WAF能做什么？机器学习我认为通过大量的案例和众多安全工程师的工作，能够预防和降低云防火墙的问题。4. 你期望云WAF应该具备哪些功能？我唯一期望的就是价格、价格、价格。 

本期【云享专家·微话题】由云享专家 HuangJacky 与大家一起探讨“云端WAF技术”，希望大家能够畅所欲言。如果大家有其他相关的问题，也可以在本帖回复直接咨询云享专家 HuangJacky 。=======【云享专家·微话题】云端WAF技术 =======随着云计算的普及，客户更多业务迁移到云上，以往传统的配套安全服务也转变云上SaaS服务，Web应用防火墙（WAF）对业务无侵入，来划分安全和业务开发的职责，大大减轻业务安全工作量，因此成为云上客户标配安全服务之一。然而云上客户业务的多样性，流量大，这些都对云WAF提出了新的挑战。为了应对这些挑战，云WAF不断引入新的技术，比如利用机器学习打造更加智能更贴合业务的检测引擎，利用DPDK技术打造更高并发网关。我们始终相信技术创造未来，开启云WAF新时代。每个人对“云端WAF技术”都有不一样的理解，今天我们就“云端WAF技术”一起来讨论，希望看到大家精彩的评论：1. 云WAF和传统WAF的区别？2. 云WAF遇到的问题和误报？3. 机器学习和云WAF能做什么？4. 你期望云WAF应该具备哪些功能？微话题活动：参与本次微话题讨论，有机会获得优质评论奖活动时间：2018年8月20日-9月2日参与方式：直接在本帖回复你关于以上4个问题的理解或评论获奖方式：活动结束后，将由云享专家 HuangJacky 选取出3名优质评论奖，各送出《白帽子讲Web安全》书籍1本。

      2017年8月14日，Imperva公司（纳斯达克股票代码：IMPV）宣布，在Gartner最新公布的Web应用防火墙（WAF）魔力象限中，Imperva再次入选行业领导者象限，Imperva成为该领域连续四年入选领导者象限的厂商，行业领头羊的地位持续稳固。               Imperva是网络安全解决方案的领先提供商，能够在云端和本地对业务关键数据和应用程序提供保护。成立于2002年，2014年实现产值1.64亿美元，3700多位客户及300个合作伙伴分布于全球各地的90多个国家。如今，Imperva Web应用防火墙即将登陆华为云市场，为华为云上的用户保驾护航。Imperva的总部位于美国加州红木海岸，致力于保护业务关键数据与应用程序。由SecureSphere、CounterBreach、Incapsula和Camouflage组成的公司产品线，可以助力企业组织发现资产与风险，保护存储于任意空间的信息——不管是在云端还是在本地，同时帮助企业符合网络安全法规规范。据Gartner的行业报告称：“WAF整合其它企业安全技术——如应用安全测试（AST）、数据库监控或安全信息与事件管理（SIEM）的能力，有力地支撑起其在企业市场中的强势表现。”Imperva WAF解决方案可以部署于客户数据中心，应用在云端服务或多重云服务基础设施中。这套解决方案既可以直接由客户进行管理，也可以选择托管服务。如果需要同时在云端和本地获取综合性的应用与数据安全解决方案，则可以通过FlexProtect获得简单而灵活的Imperva方案授权。Imperva成立于2002年，自2014年起，已经连续四年入选魔力象限领导者，毫无疑问是该领域的领先提供商。Gartner魔力象限（Magic Quadrant）报告是魔力象限目前使用最为广泛的评价体系，因其不对研究报告中描述的任何厂商、产品或服务出具背书，也不会建议技术产品用户只选择获得高排名或其它标识的厂商，保证严谨、独立、客观，因此，入选魔力象限领导者象限，可以说是最具说服力的行业成绩。“Imperva已经是连续第四年被定位在领导者象限了。我们相信，Imperva之所以能够持续居于行业领导者的位置，原因之一，是因为我们借助最新的Imperva FlexProtect选择，有能力为客户同时提供一种灵活的本地与云端的WAF方案。”Imperva首席技术官Terry Ray表示：“面对不断变化的威胁环境，我们的客户不仅要求全方位、综合性的保护与精准的检测，还需要灵活的部署选项。而我要倍感欣喜地说，Gartner给予我们的认可，让我们感觉到，我们所坚持的这一点再次得到了证明。”对于灵活性与易用性的重视，是Imperva脱颖而出的关键。Imperva的防卫中心（Defense Center）是一支由数据与应用程序安全领域的世界顶尖专家组成的研究团队，紧跟实时动态的威胁情报，持续更新Imperva产品，并发表研究报告，为最近出现的威胁及应对措施提供指导与启示。这也保证了Imperva拥有不断自我更新、适应变化的能力，因而得以在行业中始终处于领跑位置。  

本帖最后由 小白 于 2017-11-8 12:00 编辑虚拟补丁（VP）近年来一直是保护应用程序最受欢迎的方法之一，如果在Web应用程序防火墙层级添加VP功能，该功能可用于保护Web应用程序免遭已知漏洞的威胁攻击。简而言之，VP利用静态应用程序安全测试（SAST）的结果并使用它们来创建规则以用来过滤WAF上的HTTP请求。 但问题在于，SAST和WAF依赖于不同的应用程序模型和不同的决策方法。因此，目前可用的解决方案中没有一个能够将SAST与WAF完美的结合起来。SAST基于白盒模型，它采用公式方法来检测代码中的漏洞。然而，WAF将应用程序视为黑盒子，因此它使用启发式方式进行攻击检测。但是如果我们能让SAST和WAF完美的结合在一起使用，我们可以通过SAST获取有关应用程序内部结构的信息，并将这些信息提供给WAF，这样我们就可以以一种“优雅”的方式来检测网络攻击。传统VP[hr]一般地，在Web应用程序传统自动化虚拟修补方法中，我们需要向WAF提供SAST检测到的每个漏洞信息，这些信息包括：漏洞分类Web应用程序的脆弱点攻击所需的HTTP请求参数值构成攻击向量脆弱点参数的值脆弱点参数中可用于漏洞利用的一组字符或一个单词。一般地，我们可以通过定义某些函数来获取HTTP请求中的参数值，例如下面是一段易受XSS攻击的ASP.NET页面的代码片段：通过分析针对上面页面的攻击向量代码，我们可以生成一组攻击向量值的符号公式：{condition =“secret”⇒param∈{XSShtml-text}} ，其中XSShtml-text是TEXT上下文中用于XSS攻击的向量集合。在实际的应用场景中，WAF虚拟补丁的描述符可用于生成过滤规则，以阻止所有能够利用相关漏洞的HTTP请求。虽然这种做法肯定会导致某些攻击，但它有一些很大的缺点：为了表示任何给定的漏洞，SAST需要发现一个可能的攻击向量。 但为了确保能够真正消除一个漏洞，SAST有必要处理所有可能的攻击向量。但是SAST很难将这些信息传递给WAF，因为由于攻击向量语法的不规则性，矢量集不仅是无穷大的，甚至不能用正则表达式来表达。对于漏洞利用所需的其他请求参数的值也是如此。如果入侵点和脆弱执行点之间的攻击向量语法在其上下文中发生了变化，那么有关脆弱参数的信息将变得没有任何的价值。由于这些设计上的缺陷，对于SAST检测到的漏洞，VP技术不能针对其提供可能的攻击保护。尝试创建这种“全面的”流量过滤规则通常会阻止合法HTTP请求并中断Web应用程序的操作，下面让我们稍微修改漏洞的代码：与上一个例子的区别是：在对两个请求参数都做了Decode处理，针对该新代码的攻击向量公式如下所示：[size=1em]1[size=1em][size=1em]（CustomDecode condition）⊃“secret”⇒param∈（CustomDecode {XSShtml-text}）。静态分析会在相关计算流程图（ConfiG）节点中为自定义解码函数导出一个公式，以描述Base64-URL-Base64转换链，如下所示：[size=1em]1[size=1em][size=1em](FromBase64Str (UrlDecodeStr (FromBase64Str argument)))。 针对这样的公式，我们仍然有可能在其基础上构建一个漏洞，但是由于以下原因，生成虚拟补丁的方法不能应用于此：只有当请求中的“condition”参数包含“secret”子字符串时，才可能利用此漏洞。 然而，该参数的值集是非常大的，并且由于解码功能的不规则性，通过正则表达式表达该集合是不可行的。事实上，攻击向量的请求参数也被解码。因此，SAST无法将该组危险元素描述为WAF。由于传统VP的所有问题都源于无法与基于白盒方法的WAF级别的应用程序进行交互，因此明显的解决方案是实现此功能并进一步改进，以便：SAST向WAF提供有关易受攻击的参数以及从进入点到易受攻击的执行点这整个过程中对攻击变量所做的所有转换信息。对于攻击检测，启发式方法被公式方法所替换，并且包含任何漏洞的利用条件信息。因此，运行时虚拟补丁应运而生。运行时虚拟补丁[hr]运行时虚拟修补（RVP）的原理是基于PT应用检查器（PT AI）中的计算流程图模型实现的。与公式符号计算的语义表示类似，该模型是使用应用程序代码的抽象解释构建出来的，模型中的图节点包含了目标语言的生成公式，并且公式产生与相关执行点上的所有数据流相关联的所有合法值的集合，具体如下图所示：上图中的这些流被称为执行点参数。 由于CompFG是可评估的，因此我们可以根据输入参数的值，在任何执行点上计算所有参数的值。 通常情况下，RVP分为部署（D）和运行（R）两个阶段，这俩个阶段分别对应于应用程序生命周期，具体如下图所示：部署阶段[hr]在部署新版本的应用程序之前，应用程序由PT AI分析，并且为那些易受攻击的执行点中的每个CompFG节点计算三个公式：获取脆弱执行点的条件获取其所有参数值的条件所有参数及其相应语法的值集上述中的所有公式集都将按照应用程序的入口点进行分组，入口点定义于分析器的数据库中，并和PT AI支持的每个Web框架相关联。通过提取包含的漏洞信息以及从代码（基于S-expression语法的特殊语言编写的代码，编程语言使用不依赖于目标语言的形式来描述CompFG公式）中提取相关的公式列表形成一份报告，例如上述代码示例中描述脆弱点参数值的公式如下：[size=1em]1[size=1em][size=1em](+ (+ "Parameter value is `" (FromBase64Str (UrlDecodeStr (FromBase64Str (GetParameterData (param)))))) "`")获取脆弱点的公式是：[size=1em]1[size=1em][size=1em]（Contains（FromBase64Str（UrlDecodeStr（FromBase64Str（GetParameterData（condition）））））“secret”）。 然后将报告被上传到PT应用防火墙 （PT AF），在报告的基础上，PT WAF生成二进制模块，该模块可以计算报表中包含的所有公式。 例如，用于计算达到上述脆弱点的条件的反编译代码如下：为了对公式进行计算操作，PT AF必须具有以下条件之一：预先计算可能在报告中出现的所有函数具有沙箱运行环境，用于运行Web应用程序或其他平台（如CLR，JVM或PHP，Python或Ruby解释器）以及应用程序中使用的库第一种方法在一定程度上能够保证速度很快，但WAF开发人员需要大量的手动工作来描述预计算数据库，即使开发人员将范围限制为标准库函数。第二种方法允许计算报告中可能出现的所有函数，但这种方法会增加处理每个HTTP请求所需的时间，因为WAF需要访问运行时环境来对每个函数执行计算操作。这里最合适的解决方案是使用第一种方法进行最常见函数的计算，而对其余函数使用第二种方法。公式中很可能会包含分析器无法处理的函数或者PT AF无法计算的函数，这些函数在公式中会被标记为“unknown”，并以如下所述的特殊方式进行处理。运行阶段[hr]在运行阶段，WAF将每个HTTP请求的处理委托给二进制模块，该模块分析请求并检测Web应用程序中的相关入口点。为此，WAF会选择所有检测到的漏洞公式，然后以特定方式执行计算操作。首先，计算公式的两个条件为：1）到达脆弱点，2）获取其所有参数的值。 在每个公式中，变量用相关请求参数的值代替，之后计算公式值。 如果公式包含标记为“unknown”的表达式，则其处理如下：每个“unknown”标志通过公式表达式树自下而上扩展，直到找到布尔表达式。在公式中，这样的表达式会被布尔变量替换，以用来解决布尔可满足性问题。假设通过上一步骤生成了关于“unknown”的n个公式，那么计算每个公式的值。 如果至少有一个公式是可满足的，那么该假设也被认为是可以满足的。如果计算显示假设为假，那么即使所有请求参数都有危险的值，HTTP请求也无法将应用程序引导到易受攻击的点。在这种情况下，RVP只需向WAF的核心模块返回请求处理即可。如果攻击条件满足，那么WAF会计算脆弱点的参数值，使用的算法取决于分析点所属的漏洞等级。这些算法之间的相似之处是用于处理包含未知节点公式的逻辑：与假设公式不同，在计算时参数公式不会被计算，而是立即被传达给WAF。为了更好地理解这一点，我们现在将回顾一下用于检测注入攻击的最复杂的算法。检测注入攻击[hr]注入攻击通过将特定形成的输入数据传递给应用程序来执行恶意操作，当这些数据被“注入”到目标文本中（包括HTML, XML, JavaScript, SQL, URLs, 以及文件路径）时，文本中包含了应用程序逻辑不想要的句法结构。如果一个脆弱点属于这个攻击类，那么它的参数值是可以通过使用污点分析语义中抽象解释的增量计算来确定的。这种方法背后的思想是：从下到上分别计算每个表达式，同时获得每个步骤的计算结果、每个函数的语义以及传统污点检查的规则。例如，对于上述代码和以下HTTP请求参数：[size=1em]1[size=1em][size=1em]condition=YzJWamNtVjA%3d¶m=UEhOamNtbHdkRDVoYkdWeWRDZ3hLVHd2YzJOeWFYQjBQZyUzRCUzRA%3d%3d，将此算法应用于弱点参数的公式的结果如下（污染参数标记为红色）：然后根据脆弱点参数的语法对该值进行标记，如果任何污点的片段匹配多个令牌，那么就代表这是一次注入的攻击。一旦与当前入口点相关的所有漏洞的公式计算结束，请求处理将与检测结果一起传递给WAF的核心模块。RVP优点和具体功能[hr]与传统VP相比，这种基于代码分析的应用程序保护方法具有很大的优势：得益于上述公式方法以及所有中间转换的能力，传统VP的缺点得到了解决。公式方法也完全排除了假阳性的可能性，只要公式不包含未知节点对Web应用程序功能没有不利影响，因为保护是建立在应用程序的功能上，而不是简单地试图解决它们。为了测试该技术并确认其有效性，我们开发了一种用于PT应用程序检查器和PT应用程序防火墙的模块原型，实验结果表明大约十五个开源内容管理系统（CMS）的性能测试显示出很好的结果：使用RVP处理HTTP请求所需的时间与使用传统（启发式）WAF方法处理此类请求所需的时间相当。 Web应用程序的平均性能如下：对于那些非攻击的请求占比为0％对于那些非攻击请求，但会导致脆弱点的占比为6-10％对于那些是攻击请求的，且会导致脆弱点的占比为4-7％尽管与传统VP相比有明显优势，但RVP仍有几个概念上的缺点：不可能在WAF（包括文件资源，数据库和服务器环境）上计算包含来自外部源的数据公式。公式的质量直接取决于分析期间代码片段的质量（包括循环，递归和对外部库方法的调用）。为了描述预计算数据库中函数的语义，需要开发人员加入到其中，该描述过程很难自动化，且容易出现人为错误。然而，我们已经设法通过将一些RVP功能从应用程序中删除并使用RASP技术来缓解上述这些缺陷，该部分内容我们将会在新的文章中进行阐述，尽请期待吧~原文链接：http://blog.ptsecurity.com/2017/10/do-wafs-dream-of-static-analyzers.html