网络安全-WAF如何判断是攻击行为

发布时间:2023年12月21日

WAF概念

????????WAF(Web Application Firewall)可以用来屏蔽常见的网站漏洞攻击,如SQL注入,XML注入、XSS等。WAF针对的是应用层而非网络层的入侵,从技术角度应该称之为Web IPS.

WAF种类

1、非嵌入型WAF

????????对Web流量的解析完全是靠自身的,而嵌入型WAF拿到的Web数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面;

2、嵌入型WAF

????????从Web容器模块型WAF、代码层WAF等,其对抗畸形报文、扫操作绕过的能力越来越强。当然,在部署维护成本方面,也是越高的。

WAF的判断规则

1、基于规则库匹配的WAF

????????目前市面上大多数的WAF都是基于规则的WAF。即WAF对接数据收到的包进行正则匹配过滤,如果正则匹配到与现有漏洞知识库的攻击代码相同,则认为这个恶意代码,从而对于进行阻断。所以,对于基于规则匹配的WAF,需要每天都及时更新最新的漏洞库。

对于这种WAF,它的工作过程是这样的:解析HTTP请求―—>匹配规则——>防御动作―—>记录日志;

2、基于语义引擎分析的WAF

????????—般来说,规则引擎使用的正则规则的描述性比较强,对于强攻击特征的请求,正则规则的防护效果最佳。而当面对一些弱特征的攻击请求(例XSS特征请求),即便启用Web应用攻击防护的严格模式,依然可能因无法检测到而存在潜在的安全风险。可以通过启用Web应用防火墙的大数据深度学习引擎功能,识别并拦截Web应用攻击防护的严格规则无法识别的弱特征攻击请求。

文章来源:https://blog.csdn.net/m0_69801663/article/details/135128021
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。