WAF简介

---------------------  转摘于 http://www.secsky.cn/216.html

摘要

本文主要分为四个部分，1、首先对WAF作了简单的介绍，让读者对WAF这类产品有一个大概的了解；2、这部分经过一个实例演示了如何利用WAF为其后端的Web应用提供安全防御功能；3、安全是相对的，世界上任何一款安全产品都不可能提供100%的安全防御功能，WAF也是同样。所以，第三部分主要讨论了WAF的安全性，介绍了一些主流的WAF绕过技术，并结合真实案例来演示了如未尝试绕过WAF的防御，成功***其后端的Web应用；4、这部分对WAF的安全性进行了总结，告诉读者如何用正确、理性的眼光去看待WAF这类产品。

一、WAF介绍

WAF（Web Application Firewall）的中文名称叫作“Web应用防火墙”，利用国际上公认的一种说法，WAF的定义是这样的：Web应用防火墙是经过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。经过从上面对WAF的定义中，咱们能够很清晰的了解到，WAF是一种工做在应用层的、经过特定的安全策略来专门为Web应用提供安全防御的产品。

根据不一样的分类方法，WAF可分为许多种。从产品形态上来划分，WAF主要分为如下三大类：

1.1硬件设备类

目前安全市场上，大多数的WAF都属于此类。它们以一个独立的硬件设备的形态存在，支持以多种方式（如透明桥接模式、旁路模式、反向代理等）部署到网络中为后端的Web应用提供安全防御。相对于软件产品类的WAF，这类产品的优势是性能好、功能全面、支持多种模式部署等，但它的价格一般比较贵。国内的绿盟、安恒、启明星辰等厂商生产的WAF都属于此类。

1.2软件产品类

这种类型的WAF采用纯软件的方式实现，特色是安装简单，容易使用，成本低。但它的缺点也是显而易见的，由于它必须安装在Web应用服务器上，除了性能受到限制外，还可能会存在兼容性、安全等问题。这类WAF的表明有ModSecurity、Naxsi、网站安全狗等。

1.3基于云的WAF

随着云计算技术的快速发展，使得其于云的WAF实现成为可能。国内创新工场旗下的安全宝、360的网站宝是这类WAF的典型表明。它的优势是快速部署、零维护、成本低。对于中、小型的企业和我的站长是颇有吸引力的。

二、利用WAF为Web应用提供防御

在这里，咱们以Naxsi为例来演示下如何利用WAF来为其后端的Web应用提供安全防御。Naxsi是一个开放源代码、高效、低维护规则的Nginx web应用防火墙模块。Naxsi的主要目标是帮助人们加固他们的web应用程序，以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。详见http://code.google.com/p/naxsi/wiki/TableOfContents?tm=6

，这里由于篇幅关系就再也不详细的介绍了，这里主要演示Naxsi的安装、配置及防御效果。

2.1部署架构：

2.1.1将Nginx配置为反向代理；让访问后端Web服务器的流量都通过Nginx

2.1.2让Nasxi（WAF）检测通过Nginx的流量，将***流量根据相关配置进行阻断，从而保护运行在后端Web服务器上的应用程序。

用户正常访问请求处理流程具体以下图所示：

图1

***者恶意请求处理流程具体以下图：

图2

2.2 Nginx+Naxsi安装

安装包：

Nginx 1.3.15：http://nginx.org/download/nginx-1.3.15.tar.gz

Naxsi 0.50：http://naxsi.googlecode.com/files/naxsi-core-0.50.tgz

pcre-8.32：http://sourceforge.net/projects/pcre/files/pcre/8.32/pcre-8.32.tar.gz/download

安装过程：

安装必要的支持组件

在安装Nginx以前，须要先安装必要的支持组件，不然Nginx没法正常安装。

安装pcre过程：

[root@localhost LNMP]# wget http://sourceforge.net/projects/pcre/files/pcre/8.32/pcre-8.32.tar.gz/download

[root@localhost LNMP]#tar -zxvf pcre-8.32.tar.gz

[root@localhost nginx-1.3.15]#cd pcre-8.32

[root@localhost pcre-8.32]]#./configure

[root@localhost pcre-8.32]#make && make install

安装zlib库组件过程：

[root@localhost LNMP]# yum -y install zlib-devel

Nginx和Naxsi安装过程

[root@localhost LNMP]# wget http://nginx.org/download/nginx-1.3.15.tar.gz

[root@localhost LNMP]# wget http://naxsi.googlecode.com/files/naxsi-core-0.50.tgz

[root@localhost LNMP]# tar -zxvf nginx-1.3.15.tar.gz

[root@localhost LNMP]# tar -zxvf naxsi-core-0.50.tgz

[root@localhost LNMP]# cd nginx-1.3.15

[root@localhost nginx-1.3.15]# ./configure --add-module=../naxsi-core-0.50/naxsi_src

[root@localhost nginx-1.3.15]#make && make install

启动Nginx，并测试

/usr/local/nginx/sbin/nginx        #启动Nginx

/usr/local/nginx/sbin/nginx -t     #测试配置文件是否正常

Killall -9 nginx                    #杀死nginx进程

kill -HUP `cat /usr/local/www/nginx/logs/nginx.pid`   #以平滑方式重启Nginx

图3

若是在启动Nginx时，出现以下错误：

图4

按照下面的方法便可解决。

32位系统 [root@localhost lib]# ln -s /usr/local/lib/libpcre.so.1 /lib
64位系统 [root@localhost lib]# ln -s /usr/local/lib/libpcre.so.1 /lib64

2.3配置过程：

这个具体配置分为两个过程：1、修改Nginx.conf配置文件，配置与Naxsi（WAF）相关选项；2、将Nginx配置为反向代理，为后端Web服务器提供防御。

2.3.1配置Naxsi相关

首先，将Naxsi的核心配置规则库拷贝一份至Nginx文件所在目录，

图5

接着修改Nginx.conf配置文件，在其中加入以下一行配置，让其包含Naxsi的核心规则库文件：

图6

而后定义一个虚拟主机的安全规则，可参考下面的内容：

LearningMode; #Enables learning mode

SecRulesEnabled;

#SecRulesDisabled;

DeniedUrl "/RequestDenied";

include "/tmp/naxsi_rules.tmp";

## check rules

CheckRule "$SQL >= 8" BLOCK;

CheckRule "$RFI >= 8" BLOCK;

CheckRule "$TRAVERSAL >= 4" BLOCK;

CheckRule "$EVADE >= 4" BLOCK;

CheckRule "$XSS >= 8" BLOCK;

将上面的内容保存在一个文件中。如test.rules。下面会用到。

自定义一个阻断页面，当WAF检测到***时，会将该页面返回给用户，可参考以下内容：

<html>

<head>

<title>Error 403 Request Denied</title>

</head>

<body>

<h2>Error 403 Request Denied</h2>

For some reasons, your request has been denied.

</body>

</html>

2.3.2配置反向代理

新建一个虚拟主机的配置文件，具体配置以下图所示：

图7

最后，再次修改Nginx.conf，使其包含刚定义的虚拟主机配置文件便可。

图8

重启Nginx服务后配置生效。

2.4防御效果演示

未使用WAF时，不具有***防御能力。

图9

图10

图11

使用WAF后，恶意***被阻断。

图12

图13

图14

三、WAF安全介绍

WAF做为一种安全产品为Web应用提供安全防御，能够增大***者的***难度和***成本，这一点是不容至疑的。可是，WAF并非万能的，世界上没有任何一款安全产品能够提供100%的安全防御。因为产品的设计或实现原理，及其余问题都有可能致使***者能够成功绕过WAF的防御，来达到***后端Web应用的目的。除了WAF自身的安全性之外，如今讨论最多的就是WAF的绕过技术。在介绍WAF绕过技术以前，咱们必需要要搞明白一个问题，那就是WAF为何会存在被绕过的风险？这是由于WAF对数据包的解析和Web服务器对数据包的解析二者之间存在差别，因此存在被绕过的可能。下面列出了一些在SQL注入过程当中主流的WAF绕过技术：

1.转换特征字符大小写

2.利用注释绕过

3.编码特征字符绕过

4.分隔重写特征字符绕过

5.利用截断字符绕过

6.变换变量位置绕过

7.针对域名保护的绕近

8.超大数据包绕过

9.转换数据提交方式绕过

10.HPP（HTTP参数污染）绕过

上面列出的这些WAF绕过技术网上都有相应的详细介绍，这里由于篇幅关系就再也不介绍了，感兴趣的读者能够自行百度查找相关资料。下面咱们经过一个真实案例来介绍下WAF的绕过。

WAF绕过技术实例

在前段时间安全宝举办的一个WAF绕过活动中，白帽子们经过各类技巧成功绕过了安全宝的WAF。下面以一个我发现的WAF绕过技巧来进行说明：

背景介绍：

在一个存在SQL注入漏洞的Web应用前面部署了安全宝的云WAF，访问Web应用的流量首先要通过WAF，由WAF检测是否存在***行为，若是WAF检测到恶意***行为，将向***者返回特定的阻断页面。不然，将返回正常的页面。

1.先经过经典的“and 1=1”去判断该Web应用是否存在SQL注入漏洞。由于前端有WAF的防御，正常状况该请求应该会被WAF拦截。同预想的结果同样，当咱们发送有***特征的请求时，会WAF阻断，返回了一个405的错误页面。

图15

2.如今咱们尝试将GET请求转换为POST，在POST的请求中带上***字符串，来判断是不是被WAF拦截。结果如何呢？请看下图：

图16

3.经过上图咱们能够看到该请求并无被WAF拦截，而是返回了Web应用的正常页面。说明咱们成功绕过了WAF。可是，到此为至，咱们仅仅是确认了该Web应用存在SQL注入漏洞。那么下面咱们来尝试构造SQL语句来提取该Web应用数据库的相关信息。结果以下图：

图17

4.经过上面的测试，咱们能够确认，将GET请求转换为POST后，能够成功绕过WAF的检测，从而成功获取到目标Web应用的相关信息和数据。其余的WAF也可能会存在一样的问题。

四、总结

经过上面的介绍和相应的实例演示，相信读者对WAF都有了一个比较全面的认识。那么咱们应该如何看待WAF这类产品呢？有两种极端的认识都是错误的，一、部署WAF后，就能够高枕无忧，不用再担忧安全问题了；2.WAF没有用，理由是可能会被绕过。

为何说这两种认识都是错误的呢？首先对于第一点，WAF做为一种安全产品，防御的是通用型的***，一般担任一个虚拟补丁的角色。还有各个厂家的WAF由于实现原理、技术能力、型号等其余方面的缘由在性能、防御能力上也并不相同，不可一律而论。WAF能够防护大部分的常规***，阻挡很大一部分的***者，这一点不能否认，不然WAF也就没有存在的价值了。但对于一些技术能力较强的***者，WAF并不能阻挡住他们***的脚步，他们有能力绕过WAF来成功实施***。对于第二点，其实咱们前面已经说过了，安全是相对的，世界上没有哪款安全产品能够提供100%的安全防御。因此，我对于WAF的态度是，没有必要神化WAF，它并不像厂商说的那样神奇，但也不用过度看淡WAF，毕竟WAF能够阻挡大部分的常规***，能够极大提升Web应用的安全性，是一种Web应用防御的有效手段。