满心记 我在人间混日子

开源好用的WAF应用-雷池

一款足够简单、足够好用、足够强的免费 WAF。基于业界领先的语义引擎检测技术,作为反向代理接入,保护你的网站不受黑客攻击。核心检测能力由智能语义分析算法驱动,专为社区而生,不让黑客越雷池半步。这款应用就是SafeLine

特性

  • 便捷性
    采用容器化部署,一条命令即可完成安装,0 成本上手。安全配置开箱即用,无需人工维护,可实现安全躺平式管理。
  • 安全性
    首创业内领先的智能语义分析算法,精准检测、低误报、难绕过。语义分析算法无规则,面对未知特征的 0day 攻击不再手足无措。
  • 高性能
    无规则引擎,线性安全检测算法,平均请求检测延迟在 1 毫秒级别。并发能力强,单核轻松检测 2000+ TPS,只要硬件足够强,可支撑的流量规模无上限。
  • 高可用
    流量处理引擎基于 Nginx 开发,性能与稳定性均可得到保障。内置完善的健康检查机制,服务可用性高达 99.99%。

雷池介绍

当下,Web应用防火墙大多采用规则匹配方式来识别和阻断攻击流量,但由于Web攻击成本低、方式复杂多样、高危漏洞不定期爆发等原因,管理者们在安全运维工作中不得不持续调整防护规则,以保障业务的可用性和安全性。

传统防护业务的误报

当下,Web应用防火墙大多采用规则匹配方式来识别和阻断攻击流量,但由于Web攻击成本低、方式复杂多样、高危漏洞不定期爆发等原因,管理者们在安全运维工作中不得不持续调整防护规则,以保障业务的可用性和安全性。尽管如此,每天依然面临着不少的误报和漏报,影响正常业务运转甚至导致Web服务失陷。
究其原因,是由于基于规则匹配的攻击识别方法存在先天不足导致的。在乔姆斯基文法体系中,编写匹配规则的正则文法属于3型文法(正规文法),而用于构造攻击载荷(Payload)的程序语言属于2型文法(上下文无关文法)

雷池的解决之道

一种主流算法在被确定下来后,可以通过一些简单的方法来自我强化(比如增加密钥长度、修补有问题的参数和代码实现等)。随着计算能力和算法分析技术的发展,算法强度会逐渐变弱,会逐渐暴露出更多的设计缺陷,从而被其他算法取代。

长亭雷池(SafeLine)下一代Web应用防火墙【下文简称:雷池(SafeLine)】就是典型的以算法的革新重构了WAF类产品的能力。长亭科技自成立起便深入探索Web安全防护的新思路,创新性提出以“智能语义分析算法”解决Web攻击识别问题,给WAF内置“智能大脑”,使其具备自主识别攻击行为的能力,同时结合机器学习建模,不断增强和完善“大脑”的分析能力,不依赖传统的规则库即可满足Web应用日常安全防护需求。

雷池(SafeLine)通过对Web请求和返回内容进行智能分析,使WAF具备智能判断攻击威胁的能力。智能语义分析算法由词法分析、语法分析、语义分析和威胁模型匹配4个步骤组成。

智能语义分析算法模型

雷池(SafeLine)内置涵盖常用编程语言的编译器,通过对HTTP/HTTPS的载荷内容进行深度解码后,按照其语言类型匹配相应语法编译器,进而匹配威胁模型得到威胁评级,阻断或允许访问请求。

与规则匹配型威胁检测方式相比,智能语义分析技术具有准确率高、误报率低的特点。以SQL注入检测为例:

传统WAF无法检测基于上下文无关文雷池(SafeLine)通过综合打分模

作为全球范围内第一款以智能语义分析算法为核心引擎能力打造的下一代WAF,雷池(SafeLine)展现出了更多让安全产品“更聪明”的可能。除了形成了质变的检测引擎的精准程度,它可以通过插件形式灵活扩展、实现瑞士军刀般的功能增加,可以变形适配、安装部署进各种网络环境,可以跟机器学习等前沿技术更好的融合、增强流量分析的能力等。

功能介绍

当下,Web应用防火墙大多采用规则匹配方式来识别和阻断攻击流量,但由于Web攻击成本低、方式复杂多样、高危漏洞不定期爆发等原因,管理者们在安全运维工作中不得不持续调整防护规则,以保障业务的可用性和安全性。

架构

雷池(SafeLine)下一代Web应用防火墙,具备以智能语义分析为核心,结合流量学习、访问控制等多种防护技术于一体的攻击检测引擎,具有极少的漏报误报率和优秀的0day防护能力,采用多级熔断和高可用相结合的手段保障业务连续性,具备集群化、容器化等适用多种平台的部署模式,结合BOT管理、API防护、DDoS防护、威胁情报等能力,为用户提供安全、合规、稳定、易用的Web应用安全保障。

系统架构图

下一代Web应用防火墙通过接入Web访问流量,进行协议解析与深度解码,调动语义分析、流量学习、访问控制和自定义插件引擎、BOT管理模块、威胁情报信息进行分析,根据预设策略允许或阻断访问流量。

攻击行为智能检测

具有覆盖OWASP安全风险的智能检测引擎,不依靠传统规则匹配模型,通过智能识别和分析HTTP/HTTPS,发现和阻断安全威胁。

流量自学习

具备基于用户流量特征的分析能力,通过机器学习,对一类请求进行学习,生成形成基于客户业务流量的特征模型。雷池(SafeLine)将依据特征模型对业务流量进行检测,阻断不符合业务特征的流量访问,有效防范非正常的访问。

Web访问控制原理

支持灵活的访问控制机制,内置访问控制引擎,根据源IP、Session来统计客户端访问行为,用户可通过设置针对特定域名、URL的访问频率和IP黑/白名单策略,限制相关源的访问行为。雷池(SafeLine)内置Session系统,可满足不同用户的访问控制需求。

可编程扩展插件

提供自定义扩展插件功能,支持Lua脚本语言编写扩展插件,能够构建可与用户其他系统互动的业务安全防护体系。通过语义分析引擎检测后的实时流量,调用与业务相关的分析插件,实现与业务逻辑紧密相关的请求处理逻辑,使雷池(SafeLine)成为功能可插拔、信息可推送、流量可分析、应用可调用的灵活智能WAF,适用不同用户各类业务安全防护的定制需求。

IPv4/IPv6双协议栈

随着我国IPv6下一代互联网技术的快速推进,各个行业均在推动IPv4到IPv6协议的过渡更替。雷池(SafeLine)支持双协议栈技术,同时支持IPv4与IPv6网络协议,能够满足IPv4向IPv6过渡阶段的网络部署需求。

全开放功能接口

Open API架构

具备全功能开放接口(Open API),所有页面功能均可通过API实现调用,可通过SoC或SIEM平台调取雷池(SafeLine)检测日志、下发安全策略等,构建多平台、多设备的安全联动,提高安全和运维管理效率。雷池(SafeLine)提供基于REST-ful的标准API接口,可快速融入用户安全运维体系。

BOT防御

除了支持解析识别检测请求内容中的攻击行为,以及客户端的超频异常访问行为外,还可以针对发起请求的客户端进行多种主动校验识别,统一管理BOT请求,管理好的BOT,提高恶意BOT的攻击成本,有效保护业务的正常运营以及数据安全。

API安全

除了针对HTTP/HTTPS的Web应用服务站点的防护外,雷池(SafeLine)也支持针对API的防护,通过防护引擎对API流量进行安全检测,阻断攻击行为,有效的为微服务、物联网提供安全防护

DDoS防护

支持与云端清洗服务联动,实现对各类DDoS攻击的防御,能够针对服务器资源消耗较大的访问进行重点监控,通过频率统计、人机识别等多种技术,有效保护服务器资源系统不被恶意消耗,保障业务连续性

利用云端海量的威胁情报信息资源,结合自身安全防护管理能力进行防控联动,从而实施更多种针对已知风险进行的快速对抗响应措施,同时利用威胁情报查询机制获取更多IP标签信息,提升现有安全解决方案的检测和防御能力,甚至溯源能力。

产品部署

具有硬件和软件两种形态,方便在不同用户系统环境中部署。雷池支持各种常规部署模式,例如旁路检测、透明桥、透明代理、反向代理、路由代理、集群反向代理、嵌入式反向代理等。在新的应用环境下,雷池(SafeLine)还支持服务器引流部署方式、Kubernetes编排部署方式等独有的新型部署模式。

集群反向代理

软件集群反向代理

软件集群模式部署,支持将网络服务和检测模块分布式部署在多个主机节点中,在管理模块统一调度下形成软件集群,通过反向代理模式实现对所有访问请求的检测,并支持对后端服务器的业务负载均衡,同时支持多节点冗余和扩展,保证WAF的高性能和业务高可用。软件集群可部署在公有云VPC环境中,保护部署在公有云环境的Web服务。

该模式具备高性能、高可靠和易扩展等特点,适合用户访问量大、业务并发高等应用场景。

软件嵌入式集群反向代理

支持嵌入部署在用户已有Nginx、Tengine反向代理集群中,实现物理旁路、逻辑串联的部署模式。该模式需用户Nginx、Tengine集群支持加载动态模块,将雷池(SafeLine)流量牵引SO模块在用户环境中编译后,添加至反向代理集群中,从而将Web访问流量牵引至检测节点中,根据检测结果通知反向代理集群转发或阻断。

该模式可在不改变原有反代集群模式下实现雷池(SafeLine)的嵌入式部署,适合已建设反向代理集群,且运维管理能力较强的用户采用。

服务器引流部署模式

手机银行等带有非国际标准的加密流量或经VPN访问的加密流量,无法使用WAF的代理模式进行检测。针对这种场景,雷池(SafeLine)提供了服务器引流部署模式,可以将非标准加密流量解密后再进行攻击检测,防护使用非通用加密措施进行加密的流量。

云上部署与Kubernetes统一编排

业务上云和容器化是当前网络服务的趋势,雷池(SafeLine)已经完成容器化实现,可以直接融合进入客户的Kubernetes系统,与客户的业务系统容器进行统一编排。雷池(SafeLine)能够以集群、容器化的方式进行部署,将检测节点以容器的方式,融合到客户的Kubernetes编排系统中统一管理,使得雷池(SafeLine)的检测能力与客户的Web服务提供能力始终保持一致。同时,雷池(SafeLine)也支持多租户的应用模式,可以使各个账户之间的防护策略和规则互不干扰。

安装

配置要求

  • 操作系统:Linux
  • 指令架构:x86_64
  • 软件依赖:Docker 20.10.6 版本以上
  • 软件依赖:Docker Compose 2.0.0 版本以上
  • 最小化环境:1 核 CPU / 1 GB 内存 / 10 GB 磁盘

一键安装(推荐)

bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)"

当然也有其它部署方式:比如Docker,具体方式可以看使用说明

快速使用

登录

浏览器打开后台管理页面 https://:9443。根据界面提示,使用 支持 TOTP 的认证软件 扫描二维码,然后输入动态口令登录:

配置防护站点

雷池以反向代理方式接入,优先于网站服务器接收流量,对流量中的攻击行为进行检测和清洗,将清洗过后的流量转发给网站服务器。

添加后,执行 curl -H "Host: <域名>" http://:<端口> 应能获取到业务网站的响应。

测试效果

使用以下方式尝试模拟黑客攻击,看看雷池的防护效果如何

  • 浏览器访问 http://<IP或域名>:<端口>/?id=1%20AND%201=1
  • 浏览器访问 http://<IP或域名>:<端口>/?a=

深度测试,可参考防护深度测试

我昨天尝试用了下,感觉还不错,有兴趣的也可以试试喽

发表评论

提交评论