Edgio WAF规则——在混乱中创造秩序（上篇）

标签：请求 自定义 WAF 应用程序 秩序 规则 Edgio

 

我的每一天充满了来自现有和潜在客户的各种问题。

其中，我喜欢回答的一个问题是：是什么让我们的web应用程序防火墙（WAF）和我们的安全规则集如此精确？

当考虑到过去几年发生的新攻击载体和漏洞的冲击时，准确性是至关重要的。事实上，网络安全和基础设施安全机构（CISA）最近在其已知利用漏洞目录中增加了66个新漏洞。CISA并不是唯一关注安全性和性能的机构。根据WAF最近的一项调查，企业希望减少误报、误报、警报疲劳，并希望看到WAF管理的改善。要更深入地了解企业如何调整其应用程序安全实践，请阅读我们的WAF基准报告。

那么是什么让Edgio管理的WAF规则更有效呢?在较高的层次上，这与我们运行WAF规则和混合签名和异常评分模式有关，与托管WAF规则的特殊顺序有关。我们通过自制的waflz引擎在毫秒内完成这些过程，在不牺牲性能的情况下提供安全性。

下面，让我们更详细地讨论这个问题。

剖析

在回顾托管WAF规则的内部工作原理之前，让我们先看看WAF中不同的保护层。WAF规则模块的每一层都起着重要作用。下面的信息概述了它的功能。

访问控制规则

访问控制规则提供了创建允许列表、拒绝列表和正向安全访问列表的能力，以根据IP地址、国家、ASN、用户代理、cookie、引用者、URL、HTTP请求方法、内容类型、文件扩展名、文件大小和请求头对流量进行过滤。

速度限制规则

速率限制规则限制HTTP请求流到WAF后面的应用程序，以防止恶意或意外的应用程序DDoS流量，并防止客户源服务器因请求而过载。

机器人管理规则

机器人管理规则通过要求客户端（例如，web浏览器）在允许请求继续之前解决一个挑战来缓解自动化流量。当客户端无法解决此挑战时，WAF阻止请求到达应用程序。基本的机器人通常无法解决这类挑战，因此它们的流量会得到缓解。这可以保护你的网站免受机器人抓取内容、刷卡、垃圾邮件、发起DDoS攻击和广告欺诈的影响。

自定义WAF规则

自定义WAF规则将我们强大的WAF引擎放在您的手中，您可以创建自己的WAF规则。恶意流量是通过使用变量的组合（即请求头、正文、查询、方法、URL、cookie等）来识别的。此方法为威胁检测提供了更大的灵活性，并使您能够筛选特定的恶意请求并采取措施缓解它们。自定义威胁识别结合快速测试和部署，使您能够通过创建虚拟补丁快速解决长期和零日漏洞。

WAF管理规则

Edgio WAF 管理规则通过我们创建的预定义规则集识别恶意流量。受管理的WAF规则由500多条细则组成，分为三类：1.Edgio专有规则。2.高级应用程序特定规则。3.通用OWASP规则。这为不同的攻击类别和应用程序提供了各种安全策略和规则的综合集合。在执行威胁评估时，可以自定义每个托管WAF规则，以通过排除某些变量（即cookie、头和请求参数/查询字符串）来防止误报。

正如您所看到的，我们的WAF规则有很多层，在每一层中，可能有几十到数百个WAF必须运行的规则和条件。每个规则都有可能引入误报并影响性能。更为复杂的是，Edgio WAF提供了在双WAF模式下运行的独特功能，在这种模式下，您可以同时为生产流量运行两个版本的安全配置，用于访问控制规则、自定义WAF规则和托管WAF规则。随着我们继续增强我们的安全解决方案，我们将增加额外的保护层。这就提出了一个问题，我们如何确保WAF在所有这些功能和规则的混乱中准确高效地处理数百万个请求？

 

从混乱中创造秩序

除了拥有一个专门设计用于在高性能多租户环境中扩展的功能强大的自制WAF引擎（waflz）外，关键是创建适当的操作顺序，以最高效地运行WAF。为了实现这一点，我们的WAF按照以下顺序运行其不同层次的规则模块： 

1.访问控制规则：所有请求都由一组静态的客户配置的允许/拒绝/访问列表过滤，这些列表由前面提到的变量组成。WAF会丢弃与拒绝列表匹配的任何请求，从而阻止进一步处理任何不需要的流量。

2.速率限制规则：通过访问控制规则的请求随后由速率限制规则跟踪，该规则在配置指定的时间窗口内跟踪每个客户端的请求。WAF会丢弃超过特定请求速率阈值的请求，从而进一步减少了继续执行下一步的请求量。

3.Bot Manager规则：每个到达此步骤的请求都会收到一个浏览器质询，以检测自动客户端或原始Bot。所有未能解决质询的请求都将被阻止继续。大多数攻击都是通过自动化客户端进行的，因此这是一种有效的解决方案，可以进一步减少后续计算密集型进程处理的请求量。

4.自定义WAF规则：在这一步中，WAF使用客户创建的各种自定义筛选器检查请求，以检测和缓解被认为不需要的请求。这可以包括客户可以实时部署的任何特定于应用程序的规则，以减少零日漏洞，而无需等待管理的WAF规则集更新。这是一个非常有用的工具，可以获得对特定攻击的可见性和控制。由于自定义WAF规则的特殊性，它们优先于Edgio提供的托管WAF规则，并将在将请求传递到最终层之前处理这些请求。

5.托管WAF规则：到达此阶段的任何请求都由托管WAF的500多条规则处理，这些规则跨越Edgio专有、高级应用程序特定和通用OWASP类别。

 

图1:Edgio WAAP工作流。

按顺序处理每个请求（如图1所示）确保执行多层过滤。这有助于我们在请求达到托管WAF规则之前捕获客户正在寻找的攻击（即拒绝列表的IP/国家/地区、应用程序DDoS/HTTP洪水攻击、自动客户端和特定自定义请求签名）。然而，这只是安全故事的一部分。

WAF的有效性不仅仅取决于其缓解攻击的能力（真阳性），还取决于其防止合法流量被阻止的能力（误报）。让我们回顾一下我们是如何在减少误报的同时捕获大部分应用攻击的。

原文链接：https://edg.io/resources/blog/edgecast-waf-rules-creating-order-out-of-chaos/

标签：请求,自定义,WAF,应用程序,秩序,规则,Edgio
From： https://www.cnblogs.com/Limelight/p/16734223.html