传统WAF与云WAFv0.3(安全宝-刘漩)

传统WAF与云WAF•刘玄•安全宝•安全技术专家•新浪微博:@aqbsec-0000•Gmail:imiyoo2010@gmail.com关于我WAF(WEBAPPFIREWALL)•什么是WAF？•针对HTTP/HTTPS的安全策略来保护Web应用•如何保护?•安全策略(规则)HTTP/HTTPS数据流(单向)传统的WAF缺陷:单向数据流过滤需要专门部署和安装价格昂贵,面向于企业和政府维护成本高计算能力受限云WAF特点:SaaS模式，安全即服务，免部署，免安装，免维护，免更新双向数据流过滤机制基于海量数据的灰度规则和智能调控计算能力没有限制，支持横向扩展还可以做什么？定制化规则,未知攻击(0day)完美防御客户端行为的分析和跟踪Web最新攻击态势的跟踪互联网网站风险预估和通知,防患于未然安全宝云WAF安全宝DNSA-DNS安全宝调度A-SCHEDULE用户用户网站抗D节点集群加速节点集群安全节点集群生成配置智能调度DNSHTTP云WAF功能•Web攻击拦截•黑规则:针对已知攻击的过滤和拦截•白规则:针对未知攻击的拦截和防御•访问加速•DNS分区解析，遍布全国各地的节点•静态内容缓存(CDN)•CC、DDoS防御WEB攻击防御架构白规则黑规则真实网站HTTP数据流日志中心正常日志未知日志分析与学习分析与学习白规则防御基础思想:一切输入都是有害的•GET=1•WebApp可进行交互的输入•URI请求文件•HTTP请求方法控制•参数控制•字符类型可控(数字，字母，符号和不可视符号)•变量长度可控客户端行为分析2012.10~2012.12攻击态势统计2012年WEB应用0DAY跟踪TOP10TOP10风险预警WAF的短板•误报•安全策略拦截正常HTTP请求•漏报•安全策略放过攻击HTTP请求我们一直在努力•误报•富文本的攻击检测•WAF白名单(目录，文件和请求)•严格地规则测试•功能测试•性能测试(单条规则1ms，避免ReDoS)•回归测试海量日志回放(1亿+)•灰度发布机制•漏报•后端WebServer的特点•IIS的%号绕过,复参数，编码特性•IIS、Apache&Nginx“+”号•后端WebApp的特点•URL编码绕过•后端WebDb的特点•数据库注释符绕过•数据库的逻辑运算、关键函数•收集漏报•扫描器的高危漏洞•白帽子上报•日志的挖掘•添加规则策略下一代WAF？•如何解决呢？•从源头上识别:•从源头上控制:Q&A?Thanks