waf详解

前言：
在实际的渗透测试过程中，经常会碰到网站存在WAF的情况。网站存在WAF，意味着我们不能使用安全工具对网站进行测试，因为一旦触碰了WAF的规则，轻则丢弃报文，重则拉黑IP。所以，我们需要手动进行WAF的绕过，而绕过WAF前肯定需要对WAF 的工作原理有一定的理解。

一、waf分类

WAF分为非嵌入型WAF和嵌入型WAF，非嵌入型指的是硬WAF、云WAF、虚拟机WAF之类的；嵌入型指的是web容器模块类型WAF、代码层WAF。非嵌入型对WEB流量的解析完全是靠自身的，而嵌入型的WAF拿到的WEB数据是已经被解析加工好的。所以非嵌入型的受攻击机面还涉及到其他层面，而嵌入型从web容器模块类型WAF、代码层WAF往下走，其对抗畸形报文、扫操作绕过的能力越来越强，当然，在部署维护成本方面，也是越高的。

再补充一下关于云waf，它的主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器。云Waf在提供防护功能的同时，还同时具有CDN的功能，CDN通过跨运营商的多线智能解析调度将静态资源动态负载到全国的云节点，用户访问某个资源时会被引导至最近的云端节点从而提高访问速度。目前有很多的企业都提供云waf产品，比如阿里云waf、腾讯云waf、华为云waf等等，价格不一，普遍来说一年也要几万或者十几万，相比于硬件waf要便宜很多。云waf是未来发展的一大趋势，相比于硬件和软件waf安装更简单，更新也有云端负责，更便捷，将会是中小企业、政府、金融、教育等网站的防护保障。

这里有一个重点是CDN，云waf也充当着cdn，即当我们访问某个域名的时候，域名将ip地址解析成云waf的ip，经过waf的审核再将数据转发给服务器。如果企业使用了云waf，那么寻找到网站的真实ip就显得非常重要，只要找到了真实的ip那么我们就可以绕过云waf直接请求目标服务器，大大减少了渗透的阻碍。

二、waf的工作原理

WAF(Web Application Firewall) 可以用来屏蔽常见的网站漏洞攻击，如SQL注入，XML注入、XSS等。WAF针对的是应用层而非网络层的入侵，从技术角度应该称之为Web IPS。WAF的主要难点是对入侵的检测能力，尤其是对Web服务入侵的检测，WAF最大的挑战是识别率。对于已知的攻击方式，可以谈识别率，但是对于未知的攻击手段，WAF是检测不到的。

目前市面上大多数的WAF都是基于规则的WAF。即WAF对接数据收到的包进行正则匹配过滤，如果正则匹配到与现有漏洞知识库的攻击代码相同，则认为是恶意代码，从而对其进行阻断。所以，对于基于规则匹配的WAF，需要每天都及时更新最新的漏洞库。

对于这种WAF，它的工作过程是这样的：解析HTTP请求——>匹配规则——>防御动作——>记录日志

具体实现如下：

• 解析http请求：协议解析模块
• 匹配规则：规则检测模块，匹配规则库。大多基于正则的匹配
• 防御动作：return 403 或者跳转到自定义界面，或者不返回任何数据，或者拉黑IP
• 日志记录：记录到elk中