第一代各種Web應(yīng)用防火墻的缺陷匯總

動動哈

第一代各種Web應(yīng)用防火墻的缺陷匯總

0x01 部署

a.偽透明模式：第一代的WAF大多只能支持200個Web以下，或者同一個D類子網(wǎng)內(nèi)的透明。無法做到網(wǎng)線級別的透明。第一代多數(shù)為偽透明部署（需要設(shè)置IP地址、端口、域名等信息），無法做到自適應(yīng)（接入即可防護(hù)）。

b.極少有支持路由模式的：第一代的WAF多數(shù)沒有這個功能。路由模式可以只將HTTP流量給WAF檢測。比如出口是1000Mbps的，而Web帶寬只有100Mbps，如果不支持路由模式，就只能浪費(fèi)的去使用1000Mbps的設(shè)備。

c.雞肋的代理模式：這個幾乎都有的功能，性能之差可想而知，一次請求要建2次連接。并發(fā)數(shù)降低一半，帶寬消耗增加一倍，非常不好。

0x02 檢測手段

a.IPS修改而來：基本依賴字符串匹配與正則表達(dá)式，修改國外SNORT的引擎而來，解碼不完善、效率極低。Unicode編碼的幾乎很少有支持的。數(shù)據(jù)包碎片很容易繞過檢測引擎。

b.基于策略：國外廠商比較喜愛，但配置及其復(fù)雜，網(wǎng)頁個數(shù)多的情況下，性能呈幾何方式下降。在一個超過30個網(wǎng)站的網(wǎng)絡(luò)里，幾乎不可用。利用一些CMS的漏洞，很容易繞過國外廠商此種WAF的檢測。

0x03規(guī)則

a.簡單的字符串過濾規(guī)則：比如把select、insert等加為過濾關(guān)鍵字，一旦遇到此種字符串就視為攻擊，誤報極為嚴(yán)重。繞過方法也很簡單，稍微大小寫變化即可，比如寫成：sEleCt，INsErT。有的甚至把一個短語寫好多種寫法，比如and，規(guī)則寫6條AND/aND/AnD/And/anD/aNd。如果一個短語很長，這種規(guī)則如何匹配呢？

b.規(guī)則過多：無用規(guī)則占多數(shù)，檢測速度極為緩慢。如有的廠商采用美國開源的“SNORT”或者“MOD_SECURITY”規(guī)則，規(guī)則數(shù)量很多，但誤報嚴(yán)重，有的甚至為雞肋。國內(nèi)CMS的漏洞無法防御。

0x04 性能。

a.每秒處理HTTP請求數(shù)：熟話說“外行看熱鬧，內(nèi)行看門道”。很多人都認(rèn)為吞吐量的大小是評價WAF性能的指標(biāo)，比如是200Mbps還是1000Mbps。在請求量低的情況下，一個偽千兆口的“百兆WAF”一般都可以吞吐700Mbps的數(shù)據(jù)量。實(shí)際上“每秒處理HTTP請求數(shù)”才是衡量WAF的關(guān)鍵指標(biāo)。有的廠商，甚至把每秒請求數(shù)在1萬的WAF當(dāng)千兆的產(chǎn)品來慢，實(shí)際其真正能力只在兩百兆左右。一個千兆的WAF，每秒處理HTTP請求數(shù)量至少得在5萬以上，才可能真正可以處理大量的請求。

b.客戶并發(fā)數(shù)低：很多WAF都是采用反向代理或者透明反向代理的工作方式。這些方式下，并發(fā)數(shù)都很難高于2萬，國外（俄羅斯）性能最好的反向代理服務(wù)器也只能達(dá)到2.5萬并發(fā)，所以采用反向代理的WAF并發(fā)數(shù)低就不足為奇了。一旦并發(fā)超過2萬，網(wǎng)絡(luò)立即拒絕服務(wù)。