Web应用防火墙--规则防护 | 京东云技术团队

京东云开发者
• 阅读 265

一、什么是Web应用防火墙?

Web应用防火墙对网站、APP的业务流量安全及合规性保护,对业务流量的识别恶意特征提取、分析识别出恶意流量并进行处理, 将正常安全的流量回源到业务服务器, 保护网站核心业务和数据安全。

京东云Web应用防火墙的产品架构示意图如下:

Web应用防火墙--规则防护 | 京东云技术团队

二、Web攻击常见的检测手段?

Web攻击常见的三种检测手段,规则检测、AI检测或语义检测。

1.规则检测:效率高、识别精准度高。其表现形式是正则表达式,通过正则表达式或组合来检测攻击,例如:OWASP Top10十大安全漏洞,也有与其对应的规则集合 owasp top10 rules set,通过规则拦截恶意攻击已经是各大厂商的主流检测手段。目前各大WAF厂商都有自己的安全规则集合。

2.AI检测:通过AI机器学习或深度学习算法来检测Web攻击, 能检出未知威胁, 缺点检测效率低,一般用于离线检测,误报率相对较高, 具体取决于算法模型及训练样本等。

3.语义检测:通过对SQL或XSS注入进行语法及词法分析来检测攻击, 鉴于算法特点, 误报率较高,一般用于告警, 不直接拦截业务请求。

三、公有云上用户及业务场景的特点

公有云上的用户包含各个行业,业务场景具有多样性和复杂性的特点,例如:电商和政务云都是公有云的常见客户,通用的规则集合可以有效满足用户的防护需求, 但针对特点活动场景,例如优惠券活动、重点场景需要针对性定制不同的防护规则集合, 以满足特殊场景下防护需求。

四、针对公有云多态、复杂的业务场景的解决方案

1.默认规则组: 采用规则组集合的方式进行全面安全防护。

2.规则组分级: 规则组级别分为宽松、正常、严格,用以满足不同场景或同一场景不同时期的需求。

3.自定义规则组:定制化的防御策略组,针对复杂,特定需求的业务场景,例如:专门针对SQL注入自定义规则组,在选择规则时只选择SQL注入类的规则。

4.误报处理:通过白名单对请求特征加白或在自定义规则组中去掉误报的规则来处理误报。

Web应用防火墙--规则防护 | 京东云技术团队

4.1 默认规则组

Web应用攻击防护引擎基于内置的专家经验规则集,自动为网站防御SQL注入、XSS跨站,webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。

4.2 规则组分级

规则组级别分为宽松、正常、严格,用以满足不同场景或同一场景不同时期的需求。

例如在平时我们将规则组设置为正常级别, 但是在重保时期可以将规则组提升为严格级别,从而来阻断更多的攻击风险。

正常级别:检测常见的Web应用攻击(默认选择)。

严格级别:当您需要更严格地防护路径穿越、SQL注入、命令执行时,建议选择此等级。

宽松:当发现存在较多误拦截,或者业务存在较多不可控的用户输入时,可以选择此等级。

Web应用防火墙--规则防护 | 京东云技术团队

4.3 自定义规则组

定制化的防御策略组,针对复杂,特定需求的业务场景,例如:专门针对SQL注入自定义规则组,在选择规则时只选择SQL注入类的规则。

例如:

选择一个规则组模板,之后对模板内的规则进行删除,或添加新的规则到规则组中;

已选择的安全规则

Web应用防火墙--规则防护 | 京东云技术团队

未添加的安全规则

Web应用防火墙--规则防护 | 京东云技术团队

4.4 解决业务误报

4.4.1 自定义规则组

通过自定义规则组除去误报规则的方式来解决误报问题。

4.4.2 白名单加白

基于请求特征对误报流量加白, 加白后的流量会被WAF bypass,从而解决误报问题。

Web应用防火墙--规则防护 | 京东云技术团队

五、京东云WAF规则检测引擎主要特性

1.实时全面检测http报文,且跨包流量无遗漏检测;

2.自适应内容解析:自适应解析JSON、XML、Multipart等数据格式,提升检测的准确率;

3.自适应解码:包括URL、HTML、Base64、Unicode、十六进制、二进制等多种格式解码,提高检测的召回率;

4.支持HPP参数污染及依赖注入攻击防护,自适应SQL、XSS去注释。

作者:京东科技 范朋飞

来源:京东云开发者社区 转载请注明来源

点赞
收藏
评论区
推荐文章
李志宽 李志宽
1年前
搞安全开发都是用什么编程语言?
很多小伙伴都在微信上问我:搞安全开发,到底开发个啥,都是用什么编程语言?今天就来详细说说这个话题,我打算从安全公司研发的产品这个角度来切入,看看都有哪些产品,以及都用到哪些语言。安全公司的产品研发,主要是下面这些东西,下面分别来说一下。WAF(Web网站应用防火墙)数据库网关防火墙、IDS、IPSNTA(网络流量分析)SIEM(安全事件分析
京东云开发者 京东云开发者
6个月前
京东云RASP云原生安全免疫创新实践
随着网络攻击事件整体呈上升趋势,应用作为网络入口承载着大量业务和流量,因此成为了安全的重灾区。本文介绍京东云RASP云原生安全免疫平台工作原理以及最佳实践,减少大量的误报和漏报问题
Stella981 Stella981
1年前
Nginx 配置支持 WAF
WAF(WebApplicationFirewall),中文名叫做“Web应用防火墙”WAF的定义是这样的:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,通过从上面对WAF的定义中,我们可以很清晰地了解到:WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。
Stella981 Stella981
1年前
Bypass ngx_lua_waf SQL注入防御(多姿势)
0x00前言ngx\_lua\_waf是一款基于ngx\_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则:select.(from|limit)(?:(union(.?)select))(?:from\Winformation_schema\W)这边
Wesley13 Wesley13
1年前
MySQL数据安全策略
0、导读MySQL被运用于越来越多的业务中,在关键业务中对数据安全性的要求也更高,如何保证MySQL的数据安全?MySQL被运用于越来越多的业务中,在关键业务中对数据安全性的要求也更高,如何保证MySQL的数据安全。数据安全如果只靠MySQL应用层面显然是不够的,是需要在多个层面来保护的,包括网络、系统、逻辑应用层、数据库层等。
DevOpSec DevOpSec
2个月前
运维交付安全基线检查
1.业务安全,业务上线运行要分配主机、网络、域名等资源,这些资源安全性决定了其背后业务线的基本安全性。2.为了满足等保要求,安全合规。3.业务能不能安全运行,间接影响产品稳定性。运维交付安全基线检查时业务运行安全的安全底座,下面我们来看看从主机、代理、逻辑、db、网络等层面如何做交付前基线检查。
天翼云Web应用防火墙(边缘云版)通过首批可信认证
6月24日,中国信息通信研究院主办的首届业务与应用安全发展论坛在线上顺利举办。会上,由信通院牵头筹备的“业务安全推进计划”正式宣布成立,作为首批成员单位,天翼云参与信通院《云Web应用防火墙能力要求》标准制定并当选“业务安全推进计划”副理事长单位。天翼云安全产品Web应用防火墙(边缘云版)通过可信安全评估并被收录进信通院“业务与应用安全全景视图”。同时,天翼
移动云Web全栈防护,支持40大类上千种Web攻击防护,加固云网安全
随着信息技术的不断发展,各种网络数据层出不穷,网络安全也成为关注热点。每年全球由极端网络攻击带来的经济损失高达上千亿美元,而因恶意攻击造成的网络瘫痪、信息泄露、信誉受损等事件更是层出不穷。这时,像移动云Web全栈防护这样的云端产品就显得尤为重要了。该产品能提供Web应用安全防护,通过修改域名指向将业务流量牵引至移动云高防中心,实时监测防护,以保障用户网站业务
使用 DPU 加速的下一代防火墙实现企业网络安全保护
网络攻击正变得越来越复杂,并带来了日益严峻的挑战。远程员工连接的增加推动了边缘和核心安全隧道流量的增长,政府机构和医疗保健网络流量加密要求的扩大,以及视频流量的增加,加剧了这一挑战。此外,由于5G速度的引入和数十亿连接设备的增加,移动和物联网流量正在增加。这些趋势正在创造新的安全挑战,需要网络安全的新方向来维持足够的保护。IT部门和防火墙必须检查成
四儿 四儿
2个月前
人脸识别技术的安全性和隐私保护
人脸识别技术在各个领域的应用越来越广泛,如安全防护、金融支付、门禁系统等。然而,随着应用的深入,人们对人脸识别技术的安全性和隐私保护问题也越来越关注。为了提高人脸识别技术的安全性,可以采用多种方法,如数据加密、特征提取、生物特征识别等。数据加密可以通过对数