弹性计算云安全现状、反思以及展望.pdf

安全宝云WAF 实践分享 @imiyoo  刘漩  五年安全从业经验  2010~ 安全宝安全研究员  国内安全团队安天365核心成员  早期作品: ▪ imiPhoneWall Android 手机防火墙( 已开源) ▪ WatScan 网站在线扫描器  微博:@imiyoo  博客:  WAF 是什么，它有什么作用?  我们需要它吗？  为什么有了WAF 还会被入侵?  Web Application Firewall  Web应用的中间层，对Web 请求进行攻击过滤 WebServer 数据库 脚本 WAF IIS,Apache,T (Access/MyS (ASP/ASPX/P omcat,Nginx QL/MSSQL/O … HP/JSP/CGI…) racle…) Web 请求的水平路径  根据Web 请求的水平路径划分:  网络层，硬件WAF ，云WAF  主机层，软件WAF ，安全狗  代理层，基于WebServer 进行实现，外部表现为 WebServer 的模块  脚本层，基于WebServer传递过来的Web 请求  攻击的特点:  攻击二象性: 已知攻击与未知攻击  攻击的两个维度:形式与漏洞  完美防御思想:  攻击防御思想: “黑”和“白”  WAF 的核心原理:  运用‘黑’、‘白’思想  特征匹配、漏洞签名  对匹配结果进行响应(拦截、记录)  ”漏洞”一直存在着 Struts2漏洞 2013-07-18爆发，Apache, 苹果官网相继被黑  WAF 只是Web安全的基础防御措施，属于 相对的安全，不是绝对的安全!  因为漏洞的未知性和攻击形式的多样性， 以及大数据的复杂性，导致WAF 不可避免 存在误报和漏报……  所以WAF 需要修炼…….  规则是针对攻击形式还是针对网站?  白规则OR 黑规则  规则如何适应大量网站？  自动化AND 自学习 已知安  白规则 全请求  最大化拦截，误报最大化 应用层 请求 未知请求 (拦截)  黑规则 已知攻击 请求  最小化拦截，误报最小化 （拦截） 应用层