第一代各種Web應用防火墻的缺陷匯總
0x01 部署
a.偽透明模式:第一代的WAF大多只能支持200個Web以下,或者同一個D類子網內的透明。無法做到網線級別的透明。第一代多數為偽透明部署(需要設置IP地址、端口、域名等信息),無法做到自適應(接入即可防護)。
b.極少有支持路由模式的:第一代的WAF多數沒有這個功能。路由模式可以只將HTTP流量給WAF檢測。比如出口是1000Mbps的,而Web帶寬只有100Mbps,如果不支持路由模式,就只能浪費的去使用1000Mbps的設備。
c.雞肋的代理模式:這個幾乎都有的功能,性能之差可想而知,一次請求要建2次連接。并發數降低一半,帶寬消耗增加一倍,非常不好。
0x02 檢測手段
a.IPS修改而來:基本依賴字符串匹配與正則表達式,修改國外SNORT的引擎而來,解碼不完善、效率極低。Unicode編碼的幾乎很少有支持的。數據包碎片很容易繞過檢測引擎。
b.基于策略:國外廠商比較喜愛,但配置及其復雜,網頁個數多的情況下,性能呈幾何方式下降。在一個超過30個網站的網絡里,幾乎不可用。利用一些CMS的漏洞,很容易繞過國外廠商此種WAF的檢測。
0x03規則
a.簡單的字符串過濾規則:比如把select、insert等加為過濾關鍵字,一旦遇到此種字符串就視為攻擊,誤報極為嚴重。繞過方法也很簡單,稍微大小寫變化即可,比如寫成:sEleCt,INsErT。有的甚至把一個短語寫好多種寫法,比如and,規則寫6條AND/aND/AnD/And/anD/aNd。如果一個短語很長,這種規則如何匹配呢?
b.規則過多:無用規則占多數,檢測速度極為緩慢。如有的廠商采用美國開源的“SNORT”或者“MOD_SECURITY”規則,規則數量很多,但誤報嚴重,有的甚至為雞肋。國內CMS的漏洞無法防御。
0x04 性能。
a.每秒處理HTTP請求數:熟話說“外行看熱鬧,內行看門道”。很多人都認為吞吐量的大小是評價WAF性能的指標,比如是200Mbps還是1000Mbps。在請求量低的情況下,一個偽千兆口的“百兆WAF”一般都可以吞吐700Mbps的數據量。實際上“每秒處理HTTP請求數”才是衡量WAF的關鍵指標。有的廠商,甚至把每秒請求數在1萬的WAF當千兆的產品來慢,實際其真正能力只在兩百兆左右。一個千兆的WAF,每秒處理HTTP請求數量至少得在5萬以上,才可能真正可以處理大量的請求。
b.客戶并發數低:很多WAF都是采用反向代理或者透明反向代理的工作方式。這些方式下,并發數都很難高于2萬,國外(俄羅斯)性能最好的反向代理服務器也只能達到2.5萬并發,所以采用反向代理的WAF并發數低就不足為奇了。一旦并發超過2萬,網絡立即拒絕服務。
| 歡迎光臨 機械社區 (http://www.ytsybjq.com/) | Powered by Discuz! X3.5 |