深入了解Edgio托管WAF规则
当一个请求到达托管WAF规则时,它将被我们专有的Edgio规则集(ECRS)评估,该规则集有500多条,专门用于缓解广泛的应用攻击。这带来了额外的复杂性,因为有这么多类别的规则【即一般的SQL注入(SQLi)、跨网站脚本(XSS)和远程代码执行(RCE)规则】和特定的WordPress、Joomla和Apache Struts规则。需要仔细地确定优先次序,以确保它们相互补充,以最大限度地提高准确性。
与前面提到的WAF规则模块一样,关键是ECRS每个类别之间的操作顺序。在ECRS中,请求按以下顺序由不同的规则类别处理:Edgio专有规则>高级应用程序特定规则>通用OWASP CRS规则。
- Edgio专有规则和应用程序特定规则查找与特定类型应用程序的特定漏洞相关的签名。这些规则为应用程序(即Apache Struts、WordPress、Joomla、Drupal、SharePoint、cPanel等)提供了覆盖范围,并且在检测对这些应用程序的攻击时非常准确。我们将这些规则设计为以签名(又名二进制)模式运行,这意味着任何触发这些规则的请求都会引发应对行动。这些规则为应用程序匹配和过滤特定攻击向量提供了一种更加外科化的方法;因此,它们是ECRS过滤器的第一层。由于与任何专有规则和应用程序特定规则不匹配的请求仍然会给客户的应用程序带来风险,因此我们需要另一种方法来检测下一阶段的潜在攻击。
- ECRS中的通用OWASP CRS规则查找与不同常见攻击类别(即SQLi、XSS、RCE、协议冲突、本地文件包含(LFI)、远程文件包含(RFI)等)相关的签名组合。这些规则共同确定请求是否显示符合攻击类别的签名组合。这些通用规则以异常评分模式运行,客户可以通过调整异常评分阈值来定义规则敏感性,以控制需要触发多少规则才能将请求视为恶意请求。异常得分阈值越低,通用规则集越敏感或越严格,潜在恶意请求越容易超过阈值。客户可以根据应用类型和风险承受能力灵活调整WAF的敏感度。通用OWASP CRS规则是满足特定攻击特征但不一定适合特定应用程序漏洞的请求的最终捕获规则。
图2:我们的管理WAF规则以特殊设计的顺序运行,以最大限度地检测并最小化误报。
增强托管WAF规则准确性的另一个重要特性是规则的可定制性。500+个托管WAF规则中的每一个都可以自定义,以忽略特定的请求参数(即请求头、cookie、查询和正文参数)。这使客户能够使用简单的用户界面或API快速消除任何误报。
总而言之
您现在已经通过我们的WAF完成了HTTP请求的全流程。由于我们的高性能WAF在运行我们的内容交付服务的同一堆栈上以本机方式运行,在全球180多个存在点(PoP)的每台Edgio服务器中每天都会发生数十亿次这种情况。在这个博客开始的时候,我提到我有很多关于WAF的问题。我希望您现在了解是什么使它与其他解决方案不同。我们将智能操作顺序与各种WAF规则模块(从ACL到速率限制,再到bot和自定义规则)、托管WAF规则(从特定规则到通用规则)以及安全性的混合签名和异常评分模式相结合,以确保不影响性能。
打个比方:设计和组装WAF组件和规则集就像制作汉堡包。这不仅仅是关于有正确的配料,而是关于如何将它们结合起来做出一顿美食。相同的配料以不同的方式组合在一起会对消费者的口味和体验产生巨大影响。
赶紧联系我们,了解Edgio如何提高web应用程序的安全性和性能。
原文链接:https://edg.io/resources/blog/edgecast-waf-rules-creating-order-out-of-chaos/
标签:下篇,请求,WAF,应用程序,特定,规则,Edgio From: https://www.cnblogs.com/Limelight/p/16734229.html