Web应用防火墙--规则防护 | 京东云技术团队

京东云开发者
• 阅读 750

一、什么是Web应用防火墙?

Web应用防火墙对网站、APP的业务流量安全及合规性保护,对业务流量的识别恶意特征提取、分析识别出恶意流量并进行处理, 将正常安全的流量回源到业务服务器, 保护网站核心业务和数据安全。

京东云Web应用防火墙的产品架构示意图如下:

Web应用防火墙--规则防护 | 京东云技术团队

二、Web攻击常见的检测手段?

Web攻击常见的三种检测手段,规则检测、AI检测或语义检测。

1.规则检测:效率高、识别精准度高。其表现形式是正则表达式,通过正则表达式或组合来检测攻击,例如:OWASP Top10十大安全漏洞,也有与其对应的规则集合 owasp top10 rules set,通过规则拦截恶意攻击已经是各大厂商的主流检测手段。目前各大WAF厂商都有自己的安全规则集合。

2.AI检测:通过AI机器学习或深度学习算法来检测Web攻击, 能检出未知威胁, 缺点检测效率低,一般用于离线检测,误报率相对较高, 具体取决于算法模型及训练样本等。

3.语义检测:通过对SQL或XSS注入进行语法及词法分析来检测攻击, 鉴于算法特点, 误报率较高,一般用于告警, 不直接拦截业务请求。

三、公有云上用户及业务场景的特点

公有云上的用户包含各个行业,业务场景具有多样性和复杂性的特点,例如:电商和政务云都是公有云的常见客户,通用的规则集合可以有效满足用户的防护需求, 但针对特点活动场景,例如优惠券活动、重点场景需要针对性定制不同的防护规则集合, 以满足特殊场景下防护需求。

四、针对公有云多态、复杂的业务场景的解决方案

1.默认规则组: 采用规则组集合的方式进行全面安全防护。

2.规则组分级: 规则组级别分为宽松、正常、严格,用以满足不同场景或同一场景不同时期的需求。

3.自定义规则组:定制化的防御策略组,针对复杂,特定需求的业务场景,例如:专门针对SQL注入自定义规则组,在选择规则时只选择SQL注入类的规则。

4.误报处理:通过白名单对请求特征加白或在自定义规则组中去掉误报的规则来处理误报。

Web应用防火墙--规则防护 | 京东云技术团队

4.1 默认规则组

Web应用攻击防护引擎基于内置的专家经验规则集,自动为网站防御SQL注入、XSS跨站,webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。

4.2 规则组分级

规则组级别分为宽松、正常、严格,用以满足不同场景或同一场景不同时期的需求。

例如在平时我们将规则组设置为正常级别, 但是在重保时期可以将规则组提升为严格级别,从而来阻断更多的攻击风险。

正常级别:检测常见的Web应用攻击(默认选择)。

严格级别:当您需要更严格地防护路径穿越、SQL注入、命令执行时,建议选择此等级。

宽松:当发现存在较多误拦截,或者业务存在较多不可控的用户输入时,可以选择此等级。

Web应用防火墙--规则防护 | 京东云技术团队

4.3 自定义规则组

定制化的防御策略组,针对复杂,特定需求的业务场景,例如:专门针对SQL注入自定义规则组,在选择规则时只选择SQL注入类的规则。

例如:

选择一个规则组模板,之后对模板内的规则进行删除,或添加新的规则到规则组中;

已选择的安全规则

Web应用防火墙--规则防护 | 京东云技术团队

未添加的安全规则

Web应用防火墙--规则防护 | 京东云技术团队

4.4 解决业务误报

4.4.1 自定义规则组

通过自定义规则组除去误报规则的方式来解决误报问题。

4.4.2 白名单加白

基于请求特征对误报流量加白, 加白后的流量会被WAF bypass,从而解决误报问题。

Web应用防火墙--规则防护 | 京东云技术团队

五、京东云WAF规则检测引擎主要特性

1.实时全面检测http报文,且跨包流量无遗漏检测;

2.自适应内容解析:自适应解析JSON、XML、Multipart等数据格式,提升检测的准确率;

3.自适应解码:包括URL、HTML、Base64、Unicode、十六进制、二进制等多种格式解码,提高检测的召回率;

4.支持HPP参数污染及依赖注入攻击防护,自适应SQL、XSS去注释。

作者:京东科技 范朋飞

来源:京东云开发者社区 转载请注明来源

点赞
收藏
评论区
推荐文章
京东云RASP云原生安全免疫创新实践
随着网络攻击事件整体呈上升趋势,应用作为网络入口承载着大量业务和流量,因此成为了安全的重灾区。本文介绍京东云RASP云原生安全免疫平台工作原理以及最佳实践,减少大量的误报和漏报问题
李志宽 李志宽
2年前
搞安全开发都是用什么编程语言?
很多小伙伴都在微信上问我:搞安全开发,到底开发个啥,都是用什么编程语言?今天就来详细说说这个话题,我打算从安全公司研发的产品这个角度来切入,看看都有哪些产品,以及都用到哪些语言。安全公司的产品研发,主要是下面这些东西,下面分别来说一下。WAF(Web网站应用防火墙)数据库网关防火墙、IDS、IPSNTA(网络流量分析)SIEM(安全事件分析
Stella981 Stella981
3年前
Nginx 配置支持 WAF
WAF(WebApplicationFirewall),中文名叫做“Web应用防火墙”WAF的定义是这样的:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,通过从上面对WAF的定义中,我们可以很清晰地了解到:WAF是一种工作在应用层的、通过特定的安全策略来专门为Web应用提供安全防护的产品。
Stella981 Stella981
3年前
Bypass ngx_lua_waf SQL注入防御(多姿势)
0x00前言ngx\_lua\_waf是一款基于ngx\_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则:select.(from|limit)(?:(union(.?)select))(?:from\Winformation_schema\W)这边
Wesley13 Wesley13
3年前
MySQL数据安全策略
0、导读MySQL被运用于越来越多的业务中,在关键业务中对数据安全性的要求也更高,如何保证MySQL的数据安全?MySQL被运用于越来越多的业务中,在关键业务中对数据安全性的要求也更高,如何保证MySQL的数据安全。数据安全如果只靠MySQL应用层面显然是不够的,是需要在多个层面来保护的,包括网络、系统、逻辑应用层、数据库层等。
马尚 马尚
8个月前
识别汉字验证码的方法与实现
在网络世界中,验证码是一种常见的安全机制,用于防止恶意机器人或自动化程序对网站进行恶意攻击。而汉字验证码作为一种常见形式,具有更高的安全性和可读性,因此被广泛应用于各种网站和应用程序中。本文将介绍一种识别汉字验证码的方法与实现,通过收集数据、预处理图像、提
天翼云Web应用防火墙(边缘云版)通过首批可信认证
6月24日,中国信息通信研究院主办的首届业务与应用安全发展论坛在线上顺利举办。会上,由信通院牵头筹备的“业务安全推进计划”正式宣布成立,作为首批成员单位,天翼云参与信通院《云Web应用防火墙能力要求》标准制定并当选“业务安全推进计划”副理事长单位。天翼云安全产品Web应用防火墙(边缘云版)通过可信安全评估并被收录进信通院“业务与应用安全全景视图”。同时,天翼
移动云Web全栈防护,支持40大类上千种Web攻击防护,加固云网安全
随着信息技术的不断发展,各种网络数据层出不穷,网络安全也成为关注热点。每年全球由极端网络攻击带来的经济损失高达上千亿美元,而因恶意攻击造成的网络瘫痪、信息泄露、信誉受损等事件更是层出不穷。这时,像移动云Web全栈防护这样的云端产品就显得尤为重要了。该产品能提供Web应用安全防护,通过修改域名指向将业务流量牵引至移动云高防中心,实时监测防护,以保障用户网站业务
四儿 四儿
1年前
人脸识别技术的安全性和隐私保护
人脸识别技术在各个领域的应用越来越广泛,如安全防护、金融支付、门禁系统等。然而,随着应用的深入,人们对人脸识别技术的安全性和隐私保护问题也越来越关注。为了提高人脸识别技术的安全性,可以采用多种方法,如数据加密、特征提取、生物特征识别等。数据加密可以通过对数