# 了解waf ## 什么是WAF Web应用防护系统（也称：网站应用级入侵防御系统 。 英文：Web Application Firewall，简称： WAF）。 利用国际上公认的一种说法：Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。 ## 常见的web入侵行为 ### SQL注入 SQL注入恐怕是黑客们最为常见的入侵web站点的手段，黑客通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 ### xss 只要是人做出了东西都会存在或多或少的缺陷，我们的web站点也不例外，xss攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。 ### 不安全下载 这是运维工程师在网站部署时经常犯的错误，由于在部署网站是为了方便配置网站，运维工程师可能会把配置文件放在网站的根目录下，如果有人访问网站的根目录里的配置文件（类似这些：code_backup.tar.gz .sql）那我们的整个网站将会暴露管理员的账号也可能被盗走。 ### 隐私文件访问 这个原因同样是因为管理员的配置不当使网站的重要信息暴露在外（类似这些文件：.svn .git） ### 弱口令 在当今很多地方以用户名(帐号)和口令作为鉴权的世界，口令的重要性就可想而知了。口令就相当于进入家门的钥匙，当他人有一把可以进入你家的钥匙，想想你的安全、你的财物、你的隐私......害怕了吧。因为弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家门钥匙放在家门口的垫子下面，是非常危险的，同理如果管理员把网站的后台密码设置的很简单那无疑是把网站拱手让给黑客 ### 非授权范文 当管理员要把网站的数据库信息交给客户查看时，有时管理员可能忘记给数据库加密码这就造成了这个数据库暴露在公网，这就造成了数据泄露。 ### cc攻击 cc攻击无法避免，只能缓解,如果设置强有力的过滤规则则可能把正常的用户请求拒绝在外。其中性能cc攻击对网站可使网站直接经济服务 ### DDOS攻击 DDOS攻击对于那些带宽大的网站他们能做的一是扛，二是挡，带宽小的网站就比较悲剧了只能等攻击者停止攻击才能恢复网站的正常使用。网站也可以接入云清洗分散攻击流量，道高一尺魔高一丈，如果攻击者调用更多的攻击流量来打网站，网站也只能跪，我们无法杜绝DDOS攻击，为保证网站可以正常的使用我们所能做的是“扛”、“挡”、“分”。 ### 总结 Nginx网站可以通过配置规则来抵御cc攻击（频率限制）、不安全下载（判断后缀）、非授权访问（后缀，认证）、测试防护（根据UA）、设置ip黑名单。但是其所实现的功能及其有限，为了保证网站的正常功能我们就需要借助更为强大的工具来应对各种威胁，waf由此应运而生。 ## waf功能 1.支持IP白名单和黑名单功能，直接将黑名单的IP访问拒绝。 2.支持URL白名单，将不需要过滤的URL进行定义。 3.支持User-Agent的过滤，匹配自定义规则中的条目，然后进行处理（返回403）。 4.支持CC攻击防护，单个URL指定时间的访问次数，超过设定值，直接返回403。 5.支持Cookie过滤，匹配自定义规则中的条目，然后进行处理（返回403）。 6.支持URL过滤，匹配自定义规则中的条目，如果用户请求的URL包含这些，返回403。 7.支持URL参数过滤，原理同上。 8.支持日志记录，将所有拒绝的操作，记录到日志中去 ## WAF的特点 ### 异常检测协议 Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。 ### 增强的输入验证 增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。从而减小Web服务器被攻击的可能性。 ### 及时补丁 修补Web安全漏洞，是Web应用开发者最头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然，这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应的补丁本身就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都比没有保护措施更好。 ### 基于规则的保护和基于异常的保护 基于规则的保护可以提供各种Web应用的安全规则，WAF生产商会维护这个规则库，并时时为其更新。 用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到，可现实中这是十分困难的一件事情。 ### 状态管理 WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件（比如登陆失败），并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。 ### 其他防护技术 WAF还有一些安全增强的功能，可以用来解决WEB程序员过分信任输入数据带来的问题。比如：隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。 ## WAF与网络防火墙的区别 网络防火墙作为访问控制设备，主要工作在OSI模型三、四层，基于IP报文进行检测。只是对端口做限制，对TCP协议做封堵。其产品设计无需理解HTTP会话，也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此，它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求，从80或443端口顺利通过防火墙检测。一些定位比较综合、提供丰富功能的防火墙，也具备一定程度的应用层防御能力，如能根据TCP会话异常性及攻击特征阻止网络层的攻击，通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中，但从根本上说他仍然无法理解HTTP会话，难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用层攻击。web应用防火墙能在应用层理解分析HTTP会话，因此能有效的防止各类应用层攻击，同时他向下兼容，具备网络防火墙的功能。 # 初探实现WAF ## WAF实现规划 分析步骤如下：解析HTTP请求==》匹配规则==》防御动作==》记录日志 具体实现如下： 解析http请求：协议解析模块 匹配规则：规则检测模块，匹配规则库 防御动作：return 403 或者跳转到自定义界面 日志记录：记录到elk中 ## OpenResty部署 安装依赖包 [root@nginx ~]# yum install -y readline-devel pcre-devel openssl-devel 下载并编译安装openresty [root@nginx ~]# wget https://openresty.org/download/ngx_openresty-1.9.3.2.tar.gz [root@nginx ~]# tar zxf ngx_openresty-1.9.3.2.tar.gz [root@nginx ~]# cd ngx_openresty-1.9.3.2 [root@nginx ngx_openresty-1.9.3.2]# ./configure --prefix=/usr/local/openresty-1.9.3.2 \ --with-luajit --with-http_stub_status_module \ --with-pcre --with-pcre-jit [root@nginx ngx_openresty-1.9.3.2]# gmake && gmake install [root@nginx ngx_openresty-1.9.3.2]#ln -s /usr/local/openresty-1.9.3.2/ /usr/local/openresty 测试openresty安装 [root@nginx ngx_openresty-1.9.3.2]# vim /usr/local/openresty/nginx/conf/nginx.conf server { location /hello { default_type text/html; content_by_lua_block { ngx.say("HelloWorld") } } } [root@nginx ~]# /usr/local/openresty/nginx/sbin/nginx -t nginx: the configuration file /usr/local/openresty-1.9.3.2/nginx/conf/nginx.conf syntax is ok nginx: configuration file /usr/local/openresty-1.9.3.2/nginx/conf/nginx.conf test is successful [root@nginx ~]# /usr/local/openresty/nginx/sbin/nginx 关闭防火墙 [root@nginx ~]# systemctl stop firewalld.service  ## WAF部署 安装git [root@nginx ~]# yum -y install git 克隆WAF项目 [root@nginx ~]#git clone https://github.com/unixhot/waf.git 把waf目录拷贝到Nginx配置目录下 [root@nginx ~]#cp -a ./waf/waf /usr/local/openresty/nginx/conf/ 修改Nginx的配置文件，加入以下配置。注意路径，同时WAF日志默认存放在/tmp/日期_waf.log [root@nginx ~]# vim /usr/local/openresty/nginx/conf/nginx.conf #WAF lua_shared_dict limit 50m; lua_package_path "/usr/local/openresty/nginx/conf/waf/?.lua"; init_by_lua_file "/usr/local/openresty/nginx/conf/waf/init.lua"; access_by_lua_file "/usr/local/openresty/nginx/conf/waf/access.lua"; [root@nginx ~]# /usr/local/openresty/nginx/sbin/nginx –t [root@nginx ~]# /usr/local/openresty/nginx/sbin/nginx 根据日志记录位置，创建日志目录 [root@nginx ~]# mkdir /tmp/waf_logs [root@nginx ~]# chmod 777 /tmp/waf_logs(为了测试权限直接设置为777，大家千万不要学) ## 学习配置模块 WAF上生产之前，建议不要直接上生产，而是先记录日志，不做任何动作。确定WAF不产生误杀 config.lua即WAF功能详解 ``` root@nginx waf]# pwd /usr/local/openresty/nginx/conf/waf [root@nginx waf]# cat config.lua --WAF config file,enable = "on",disable = "off" --waf status config_waf_enable = "on" #是否开启配置 --log dir config_log_dir = "/tmp/waf_logs" #日志记录地址 --rule setting config_rule_dir = "/usr/local/nginx/conf/waf/rule-config" #匹配规则缩放地址 --enable/disable white url config_white_url_check = "on" #是否开启url检测 --enable/disable white ip config_white_ip_check = "on" #是否开启IP白名单检测 --enable/disable block ip config_black_ip_check = "on" #是否开启ip黑名单检测 --enable/disable url filtering config_url_check = "on" #是否开启url过滤 --enalbe/disable url args filtering config_url_args_check = "on" #是否开启参数检测 --enable/disable user agent filtering config_user_agent_check = "on" #是否开启ua检测 --enable/disable cookie deny filtering config_cookie_check = "on" #是否开启cookie检测 --enable/disable cc filtering config_cc_check = "on" #是否开启防cc攻击 --cc rate the xxx of xxx seconds config_cc_rate = "10/60" #允许一个ip60秒内只能访问10此 --enable/disable post filtering config_post_check = "on" #是否开启post检测 --config waf output redirect/html config_waf_output = "html" #action一个html页面，也可以选择跳转 --if config_waf_output ,setting url config_waf_redirect_url = "http://www.baidu.com" config_output_html=[[ #下面是html的内容 <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <meta http-equiv="Content-Language" content="zh-cn" /> <title>网站防火墙</title> </head> <body> <h1 align="center"> # 您的行为已违反本网站相关规定，注意操作规范. </body> </html> ]] ``` ## 学习access.lua的配置 ``` root@nginx waf]# pwd /usr/local/openresty/nginx/conf/waf [root@nginx waf]# cat access.lua require 'init' function waf_main() if white_ip_check() then elseif black_ip_check() then elseif user_agent_attack_check() then elseif cc_attack_check() then elseif cookie_attack_check() then elseif white_url_check() then elseif url_attack_check() then elseif url_args_attack_check() then --elseif post_attack_check() then else return end end waf_main() ``` 书写书序：先检查白名单，通过即不检测； 再检查黑名单，不通过即拒绝，检查UA，UA不通过即拒绝； 检查cookie；URL检查;URL参数检查，post检查. # 启动WAF并测试 ## 模拟sql注入 显示效果如下：  ##使用ab压测工具模拟防cc攻击 yum安装Apache [root@nginx ~]# yum -y install httpd   ## 模拟ip黑名单 将请求ip放入ip黑名单中 [root@nginx rule-config]# echo "192.168.0.16" >>/usr/local/openresty/nginx/conf/waf/rule-config/blackip.rule 显示结果如下：  ## 模拟ip白名单 将请求ip放入ip白名单中，此时将不对此ip进行任何防护措施 [root@nginx rule-config]# echo "192.168.0.16" >>/usr/local/openresty/nginx/conf/waf/rule-config/whiteip.rule 显示结果如下：  ## 模拟URL参数检测 在浏览器输入：http://192.168.0.14/?a=select * from table 显示结果如下：  详细规定在arg.rule中有规定,对请求进行了规范 # 总结 WAF它的定位就决定了只能是一款辅助性安全防御产品，无法从根本上解决产品自身存在的安全缺陷。考虑到安全与效率，WAF也不可能去拦截所有的入侵尝试，毕竟绕过WAF的奇技淫巧还是非常之多的。 根本性的防御措施还是需要放在安全开发流程、安全规范的落地和推行上面。 在众多的安全防御产品中，有的产品和方案需要花很多钱，但是收益却并不怎么明显。而WAF，在综合考量下它性价比超高，虽然治标不治本，但对于提高攻击成本、降低入侵概率还是很有帮助的。