WAF的安全策略

前言：

1. WAF安全策略可以说是一套预先设定完的规则合集，WAF的这个合集收到信息时，会自己进行分析，什么样的网络请求是恶意的、什么样的行为是违反股则的，以及当发现这些请求和行为时，应该采取什么行动（比如放行、记录还是拦截）
2. WAF安全策略就是在安全与业务可用性之间找一个最佳的平衡点
3. 该章节为WAF系列的第二章节，主要用来简单介绍一下WAF安全策略的概念、功能

---

安全策略的类型：

安全策略类型：

|--------------------------|------|----------------------------------|-------------------------------|--------------|
| 策略模板等级 | 安全强度 | 防护类型 | 影响 | 目的 |
| 宽松检测模式 (policy_loose) | 低 | 开启告警级别为高和严重、并且准确度高的安全防护规则 | 仅防御严重影响服务器功能的漏洞，误报率低，但可能会存在漏报 | 保证业务流畅 |
| 常规检测模式 (policy_normal ) | 中 | 开启告警级别较高、准确度较高的防护规则，防护能力和误报率比较平衡 | 对于大多数的业务场景，推荐使用该检测模式 | 平衡安全与业务，日常防护 |
| 严格检测模式 (policy_strict) | 高 | 开启大多数防护规则，防护能力最强但误报率可能较高 | 适用于需要重点防护的场景 | 强化防御，保护核心内容 |
| 调试模式(policy_debug） | 极低 | 关闭所有规则，不做安全检测 | 一般用于调试和排障 | 排查问题 |
| 重保检测模式(policy_emergency) | 最高 | 开启大多数重点防护的规则，防护能力较强但可能存在一些误报 | 适用于攻防演练场景 | 特殊时期使用的最高级防护 |

---

WAF的安全策略：

安全策略：API防护策略，自学习策略，用户会话跟踪策略，IP防护策略，访问控制策略，虚拟补丁策略，内容改写策略等

API防护策略：

专门为API设计的防护策略。API是应用与应用之间对话的通道，不像网页有浏览器保护，它更直接也更脆弱

自学习策略：

WAF通过机器学习，自动分析你网站的正常流量，建立"正常行为"的基准模型

自学习策略创建并运用之后。设备将根据自学习模型中处于保守模式的URL，对数据流量进行过滤。对于符合模型的流量，设备将其进行后续处理，而对违反模型的流量，设备将按照自学习策略设定的动作进行处理，如告警、阻断或重定URL

用户会话跟踪策略：

通过跟踪一个用户从进入网站到离开的整个会话过程，来识别异常行为并通过日志的方式进行记录

通常情况下，用户会话跟踪策略需要与访问控制策略、自学习策略及其他的安全策略配合使用。对于命中访问控制策略、自学习策略或其他安全策略的攻击流量，可继续配置相应的会话跟踪策略，对于这些攻击流量的用户名进行跟踪。在访问控制日志、自学习违背及Web安全的日志中，可查看这些攻击流量的用户名，会话标识等信息

IP防护策略：

最基础、最直接的防护策略，基于IP地址进行判断

根据IP信誉类别和国家/地区的IP划分，限制某些风险源IP或某些国家/地区的IP访问网站的一种防护方式。IP防护包括IP信誉防护和Geo IP防护，同时支持配置IP防护例外，例外的IP地址将跳过IP防护策略的检测

IP信誉防护：

对访问站点的风险主机IP进行过滤，多维度刻画IP信息，提供WAF防护功能

Geo IP防护

允许、阻断、重定向，控制来自不同国家/地区的客户端IP地址访问系统

重定向就是当你想去A地址时，系统把你带到了B地址

就像你按照一个旧地址去找朋友家，到了后发现门上贴着一张纸条：我已搬家，新地址在X，请去那里找我， 然后你不得不前往新地址。这个过程就是重定向

IP策略防护的作用：

系统支持设置防护例外，用户可以将不需要经过IP防护的IP地址设置为防护例外IP（通常指白名单IP），防护例外IP的流量可跳过IP防护策略略的检测

访问控制策略：

控制"谁"能访问"谁的"资源

访问控制策略通过HTTP请求方法、HTTP版本、URL路径及客户端IP等多个匹配条件，对站点的HTTP请求/HTTPS请求过滤，然后进行访问控制，如阻断，接受或重定向

访问控制策略的作用

用户可以配置所需的过滤条件及命中系统后的处理动作，组成一条访问控制策略。当访问控制策略被配置到站点上时，可以对不同的访问请求控制，从而防护Web站点的资源被非法访问或阻断攻击者的访问

控制维度：

请求流量在HTTP层面上会多一个重定向， 响应报文会更改里面的内容

应用场景：

基于时间表控制网站的访问，保护网络基于客户端的源IP对网站管理后台的访问，基于URL路径控制网站的访问，网站锁定等

例如：禁止未受信任IP访问网站管理后台

安全策略是必填项，其余策略是可填项

虚拟补丁策略：

在应用程序本身修复漏洞之前，WAF提供的一个临时、虚拟的补丁，用于拦截针对该漏洞的攻击

漏洞扫描完成后，针对扫描报告中的漏洞，可快速建立对应的虚拟补丁策略，然后应用到站点上对漏洞进行防护，从而解决了传统修补或者打补丁的方式无法快速修复网站漏洞的问题，保证了网站的连续性和安全性

内容改写策略:

WAF在将Web服务器的响应返回给用户之前，主动修改响应内容

通过访问控制策略、安全策略、虚拟补丁策略及自学习策略处理过的安全流量，用户可以继续创建内容改写策略，并将其运用在站点上，系统对符合条件的HTTP流量进行URL重定向、URL地址改写、HTTP头部或内容改写等，从而规避一些安全隐患或部分代码漏洞，进一步提高网站的安全性。

• 重定向协议：将HTTP请求重定到HTTPS的网址，从而通过SSL卸载功能，提升网站的安全性
• 改写URL地址：对于暴露Web应用程序实现细节的URL地址，为避免安全隐患，可重新改写 URL地址
• 重新页面：网站维护期间，将访问请求统一重定向到一个中转的临时页面
• 重定向网站：将网站的访问请求重定向到另一个网站
• 重定向到不同页面：不同国家或者地区的IP请求，跳转到不同的URL页面

举例：

WAF单臂部署对站点进行防护，后端Server做了限制，只能使用域名访问，禁止IP访问，DNS服务器未对域名解析IP地址做调整，解析的依然是Server IP并不是WAF站点中配置IP，此时使用WAF防护站点中配置的IP＋端口访问 403，出现403的核心原因就是权限不足，不被允许访问这个网站