安全觀察:淺談WAF幾種常見的部署模式
摘要: 隨着電子商務、網上銀行、電子政務的盛行,WEB服務器承載的業務價值越來越高,WEB服務器所面臨的安全威脅也隨之增大,因此,針對WEB應用層的防御成為必然趨勢,WAF(WebApplicationFirewall,WEB應用防火牆)產品開始流行起來。 WAF產品...
隨着電子商務、網上銀行、電子政務的盛行,WEB服務器承載的業務價值越來越高,WEB服務器所面臨的安全威脅也隨之增大,因此,針對WEB應用層的防御成為必然趨勢,WAF(WebApplicationFirewall,WEB應用防火牆)產品開始流行起來。
WAF產品按照形態划分可以分為三種,硬件、軟件及雲服務。軟件WAF由於功能及性能方面的缺陷,已經逐漸被市場所淘汰。雲WAF近兩年才剛剛興起,產品及市場也都還未成熟。與前兩種形態相比,硬件WAF經過多年的應用,在各方面都相對成熟及完善,也是目前市場中WAF產品的主流形態。
既然是硬件產品,網絡部署對於用戶來說,是一個必須要考慮的問題。縱觀國內外的硬件WAF產品,通常一個產品會支持多種部署模式。這也給用戶在購買或部署產品時帶來了困惑。以下將對硬件WAF幾種常見的部署模式做一個簡單介紹,希望可以幫助廣大用戶解除困惑。
·WAF部署位置
通常情況下,WAF放在企業對外提供網站服務的DMZ區域或者放在數據中心服務區域,也可以與防火牆或IPS等網關設備串聯在一起(這種情況較少)。總之,決定WAF部署位置的是WEB服務器的位置。因為WEB服務器是WAF所保護的對象。部署時當然要使WAF盡量靠近WEB服務器。
·WAF部署模式分類
根據WAF工作方式及原理不同可以分為四種工作模式:透明代理模式、反向代理模式、路由代理模式及端口鏡像模式。前三種模式也被統稱為在線模式,通常需要將WAF串行部署在WEB服務器前端,用於檢測並阻斷異常流量。端口鏡像模式也稱為離線模式,部署也相對簡單,只需要將WAF旁路接在WEB服務器上游的交換機上,用於只檢測異常流量。
圖1:WAF部署模式分類
·WAF幾種部署模式的技術原理
(1) 透明代理模式(也稱網橋代理模式):透明代理模式的工作原理是,當WEB客戶端對服務器有連接請求時,TCP連接請求被WAF截取和監控。WAF偷偷的代理了WEB客戶端和服務器之間的會話,將會話分成了兩段,並基於橋模式進行轉發。從WEB客戶端的角度看,WEB客戶端仍然是直接訪問服務器,感知不到WAF的存在;從WAF工作轉發原理看和透明網橋轉發一樣,因而稱之為透明代理模式,又稱之為透明橋模式。
典型拓撲
(2) 反向代理模式:反向代理模式是指將真實服務器的地址映射到反向代理服務器上。此時代理服務器對外就表現為一個真實服務器。由於客戶端訪問的就是WAF,因此在WAF無需像其它模式(如透明和路由代理模式)一樣需要采用特殊處理去劫持客戶端與服務器的會話然后為其做透明代理。當代理服務器收到HTTP的請求報文后,將該請求轉發給其對應的真實服務器。后台服務器接收到請求后將響應先發送給WAF設備,由WAF設備再將應答發送給客戶端。這個過程和前面介紹的透明代理其工作原理類似,唯一區別就是透明代理客戶端發出的請求的目的地址就直接是后台的服務器,所以透明代理工作方式不需要在WAF上配置IP映射關系。
典型拓撲
(3) 路由代理模式:路由代理模式,它與網橋透明代理的唯一區別就是該代理工作在路由轉發模式而非網橋模式,其它工作原理都一樣。由於工作在路由(網關)模式因此需要為WAF的轉發接口配置IP地址以及路由。
典型拓撲
(4) 端口鏡像模式:端口鏡像模式工作時,WAF只對HTTP流量進行監控和報警,不進行攔截阻斷。該模式需要使用交換機的端口鏡像功能,也就是將交換機端口上的HTTP流量鏡像一份給WAF。對於WAF而言,流量只進不出。
典型拓撲
·WAF幾種部署模式的優缺點
(1) 透明代理模式(也稱網橋代理模式):這種部署模式對網絡的改動最小,可以實現零配置部署。另外通過WAF的硬件Bypass功能在設備出現故障或者掉電時可以不影響原有網絡流量,只是WAF自身功能失效。缺點是網絡的所有流量(HTTP和非HTTP)都經過WAF對WAF的處理性能有一定要求,采用該工作模式無法實現服務器負載均衡功能。
(2) 反向代理模式:這種部署模式需要對網絡進行改動,配置相對復雜,除了要配置WAF設備自身的地址和路由外,還需要在WAF上配置后台真實WEB服務器的地址和虛地址的映射關系。另外如果原來服務器地址就是全局地址的話(沒經過NAT轉換)那么通常還需要改變原有服務器的IP地址以及改變原有服務器的DNS解析地址。采用該模式的優點是可以在WAF上同時實現負載均衡。
(3) 路由代理模式:這種部署模式需要對網絡進行簡單改動,要設置該設備內網口和外網口的IP地址以及對應的路由。工作在路由代理模式時,可以直接作為WEB服務器的網關,但是存在單點故障問題,同時也要負責轉發所有的流量。該種工作模式也不支持服務器負載均衡功能。
(4) 端口鏡像模式:這種部署模式不需要對網絡進行改動,但是它僅對流量進行分析和告警記錄,並不會對惡意的流量進行攔截和阻斷,適合於剛開始部署WAF時,用於收集和了解服務器被訪問和被攻擊的信息,為后續在線部署提供優化配置參考。這種部署工作模式,對原有網絡不會有任何影響。
WAF的基本配置
Web應用安全網關簡稱WAF(Web Application Firewall),該設備致力於解決Web網站的安全問題,能夠實時識別和防護多種針對Web的應用層攻擊,例如SQL注入、XSS跨站腳本、非法目錄遍歷等。WAF設備一般部署於web服務器前端,外接防火牆,所有進入內部網絡的流量必經過防火牆,而所有訪問web的流量必經過WAF,WAF通過對經過的web訪問流量進行層層過濾並深入檢查,使之最終到達Web服務器的流量是安全可靠的正常流量,由此保護了Web服務器的安全。
WAF在網絡中的位置如下面的拓撲圖所示,
在比賽中指定使用神州數碼的DCFW-1800-WAF,其外觀如圖所示,
⦁ CONSOLE接口:用於設備故障調試恢復出廠設置使用;
⦁ USB接口:用於外接USB告警裝置;
⦁ ETH0接口:用於接外網Internet,對應web界面配置接口為WAN口;
⦁ ETH1接口:用於接內網Web服務器,對應web界面配置接口為LAN口;
⦁ ETH2接口:用於初次登錄配置WAF設備時使用,又稱為帶外口;
⦁ ETH3接口:WAF設備的管理口,在HA配置時為心跳口;
注意:ETH2接口有一個固定的IP為:192.168.45.1 ,該地址已經固化進設備,不能更改,在web界面上也沒有該接口的配置,該接口只作為初次配置或者忘記其他口登錄IP時配置WAF使用。
初次設置時,可通過eth2口登錄,打開瀏覽器輸入:https://192.168.45.1/,用戶名:admin,密碼:admin123。
WAF有“透明”和“反向代理”兩種部署模式,其中透明模式部署不用改變網絡環境,直接將設備串接接入至Web服務器前端,接入方便,此種模式當外網用戶訪問時直接將數據轉發給服務器。這里一般都采用透明模式。
登錄WAF,在左側功能樹中,點擊“配置->網絡配置”,運行模式選擇“透明模式”->點擊保存,為WAN口配置IP:192.168.1.2/24,當選擇透明模式時,WAN口和LAN口組成一個網橋,此時LAN口無法配置IP地址,WAN口IP地址即是橋IP地址。
將Web服務器(IP地址192.168.1.3)接到eth1口,攻擊主機接到eth0口。
登錄WAF設備,進入“站點->站點管理”點擊新建按鈕,新建一個服務,即把需要保護的網站信息添加進去。
在攻擊主機上使用瀏覽器輸入:http://192.168.1.3/訪問Web服務器,應能正常訪問