WAF產品經理眼中比較理想的WAF

WAF簡介

WAF（Web Application Firewall，簡稱:WAF）,百度百科上的定義，Web應用防火牆是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。作為絕大多數互聯網公司Web防禦體系最重要的一環，承擔了抵禦常見的SQL注入、XSS、遠程命令執行、目錄遍歷等攻擊的作用，就像大廈的保安一樣默默工作，作為第一道防線守護業務的安全。

傳統WAF的不足

WAF在不少安全公司都是重要產品線，究其原因我認為有三個：

第一，絕大多數互聯網公司沒有足夠的專職安全人員負責安全，解決安全問題是第一剛需，WAF作為入門級產品幫助企業抵禦了常見的攻擊行為，需求量大。

第二，產品成熟，市場教育成本低，不像不少酷炫的新產品需要開發布會才能讓同行知道你幹啥，和用戶要拿ppt死磕辦小時才能讓用戶知道你賣啥，

第三，研發WAF的起點不高，最草根的做法基於常見的nginx+lua架構就可以開始開發。也正是由於這三方面原因，市場上WAF種類繁多但同質化嚴重，缺乏創新。

個人總結傳統WAF在安全方面存在下面幾個問題：

防護能力不足以應對黑產

傳統WAF主要依賴規則，一方面是吃一塹長一智，針對已知攻擊形式有一定防禦，針對未知攻擊無防護能力，另外一方面即使是已知攻擊行為，由於正則表達式天生的局限性以及shell、php等語言的極其靈活多變的語法，理論上就是可以繞過的，事實上也是比較容易繞過的，主流安全諮詢媒體沒幾篇講如何繞過WAF的文章都不好說意思和人打招呼。我就列舉一個例子：

http://xi.baidu.com/rce.php?cmd=pwd

假設cmd參數存在命令執行漏洞，輸入參數pwd會當做shell命令執行，由於shell命令的靈活性 pwd p"w"d p"""""w"""""d """"p"w"d""""都是可以執行的，針對ls、ifconfig等也是一樣，如果誰能寫出個規則防止這個url的命令執行漏洞的利用，可以告訴我。所以面對懷有經濟利益驅動的黑產或則有足夠賴心的白帽子，繞過WAF只是時間問題。

另外一個要提的，多數WAF處於性能的考慮，檢測策略主要是基於請求或者應答內容，缺乏上下文以及請求應答關聯分析的能力，勢必看問題就很片面和局限，大家可以試下在有輸入框的地方輸入alert(/1/)有多少WAF會攔截。

缺乏有效的基礎業務安全防護能力

WAF是否需要承擔業務安全或者說業務風控的職責，其實廠商和用戶直接一直沒有達成一致，多數廠商認為整個不是WAF的事，從撞庫、刷簡訊介面到薅羊毛等，確實是專業風控產品的菜；從用戶角度講，我以前被人撞庫、刷簡訊介面到薅羊毛等我分析日誌加nginx封IP能搞定一部分的，結果上WAF卻搞不定了，還非要忽悠我買賊貴的風控。我認為WAF還是要有基礎的業務安全防護能力，無論是自動還是用戶可以配置。

審計能力不足

閑時看PV，出事能取證，出現安全事件時可以很方便的查詢原始流量，這個對於應急響應的同學很重要。令人遺憾的事，多數WAF即使可以保存訪問日誌，也只能保存請求頭、基礎的url，對於攻擊定位很重要的post body，應答內容記錄的很少，當然我們也理解，存儲空間問題、性能問題。不少廠商也認為這個應該是nginx自己、siem或者流量審計類設備的功能，我說下我認為WAF應該做這個的原因：

• 
  

  WAF記錄黑客很難刪除，nginx上記錄很容易毀屍滅跡，還沒見過有自我修養的黑客不刪除日誌的



• 
  

  https普及後，流量審計想記錄也記錄不了了，只能表示遺憾

我理想中的WAF

首先聲明，我理想中的WAF部分功能有的廠商在做了，完全實現的還沒有，如果另外一個WAF產品經理說他們都實現了挑戰我，我還是直接認慫算了，反正不知道又不遭雷劈。

上下文理解能力

這個不是功能，而是處理能力，傳統WAF對於http協議的理解主要是單向處理請求或者應答，缺乏對應http整個session行為的分析，缺乏結合上下文綜合理解請求應答內容的能力，這好比盲人摸象，對於問題分析很片面。比如盲注這類沒有明顯回顯特徵的，僅依賴請求包特徵，不去分析整個session多個應答包的時間特徵就很難準確發現。

語義分析能力

語義分析，部分廠商叫沙箱，名字叫啥不太重要，本質上是WAF具備語義識別常見的SQL、PHP、shell語言的能力，傳統WAF的規則多是基於正則，說白了就是用文本的角度去理解http協議，走簡單的正則匹配，好比用鳥的大腦去嘗試理解人類的語言，結果肯定是誤報率和漏報率無法平衡。有了語義理解能力以後，就可以從http載荷中提取的疑似可執行代碼端，用語義去理解看是否可以執行。還是以剛才的case來說。

http://xi.baidu.com/rce.php?cmd=pwd

對於參數cmd的內容，如果用shell的語法去理解，pwd p"w"d p"""""w"""""d """"p"w"d""""都是一回事，都是pwd。原理上來說，對於語法公開的語言都可以實現語義分析。

語義理解，理論上可以解決基於正則的規則的摟抱和誤報的問題，不過也不是萬能的，比如http協議中究竟哪部分是疑似可執行的代碼段，這個就是個不好解決的問題。另外http協議中，對於SQL注入攻擊存在的都是代碼段，或者說是SQL片段，如何拼接保證可以正常解析也是麻煩事，市面上已經出現了一些基於語義的WAF，究竟這些問題解決到什麼程度還有待於實戰考驗。

機器學習能力

機器學習、人工智慧、深度學習，這三個詞已經被用濫了，各類會議ppt不提下都不好意思和人打招呼。這類文章很多很多很多，我就不多說了，就期待吧。

審計取證能力

能夠以http會話作為存儲單位，保存至少一個月的存儲日誌，完整記錄請求應答內容，至少包括請求和應答的前4兆內容，支持基於常見http欄位的正則查詢，支持ELK那種基礎的聚合、TOP、大於、小於操作等操作。比較理想情況可以類似去年RSA會議上說的基於流量的時光機器，按照一定條件可以回放整個訪問過程。

情報能力

威脅情報這兩年一直比較火，逐漸也從概念層面過渡到實戰，從IP地址庫、http代理庫、vpn庫進步到真正是肉雞庫等，這一進步也給WAF帶來了新的武器，對於大面積機器攻擊行為，比如CC/DDoS肉雞等可以做到直接封禁。

業務安全防護能力

業務安全的方範圍非常廣，我認為至少包括方面希望WAF是可以解決的：

網站內容保護——反惡意抓取、垃圾信息注入、黃賭毒信息注入等、主頁篡改（這個對黨政軍用戶非常非常非常重要）等

高級業務邏輯CC攻擊——對API介面的海量調用、例如簡訊介面、驗證碼介面、登錄介面、數據查詢介面等，撞庫也可以算這類

輕量級防薅羊毛–暴力註冊、刷紅包、刷代金券、各種刷

市場上也出現了號稱可以業務安全WAF，這是一大進步，本質上提供能夠根據用戶自定義的URI、參數名、源IP/目的IP、目的URL等條件，攔截超出正常頻率的機器訪問行為的能力，就可以一定程度解決不少業務安全的問題了。我一直有個觀點，黑產、羊毛黨（按照法律貌似不算違法，暫且叫灰產吧）也是講究攻擊成本的，只要攻擊你的成本高於其他P2P、電商等網站，他們多會轉向攻擊攻擊成本低的，人家也是講究性價比的，能夠提供基礎業務防護能力就是進步。

協同能力

這個我很看中，因為WAF不是萬金油，也不可能包打天下，再牛逼也可能被繞過，但是WAF的卡位很好，位於網路邊界，特別適合做隔離操作，比如hids發現webshell，協同WAF阻斷訪問；資料庫審計發現拖庫或者敏感操作協同WAF阻斷（這個還依賴WAF和資料庫聯動分析，將http會話和SQL操作關聯）等。

總結

安全廠商可能都清楚很多時候排名或者說甲方採購不完全是取決於安全能力，合規、渠道、價格每個環節都可以左右最後結論，不過從一個產品經理角度，還是很想做出一款有在安全能力上有差異化，在市場上能被廣泛接受的WAF，這個是一個WAF產品經理的自我修養。

*本文投稿作者：兜哥，轉載須註明來自FreeBuf.COM