本文目录:
- 1、部署WAF后, 采用透明代理模式, 后端的应用能获取到客户端端口么? 真实的客户端端口
- 2、腾讯云waf 设置分享
- 3、请简要介绍下各家云的优劣势,包括阿里云,腾讯云,亚马逊云,华为云
- 4、腾讯云的发展历程
- 5、我怎么找不到腾讯云主机防火墙在哪里
部署WAF后, 采用透明代理模式, 后端的应用能获取到客户端端口么? 真实的客户端端口
一、WAF的定义
WAF(Web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通俗来说就是WAF产品里集成了一定的检测规则,会对每个请求的内容根据生成的规则进行检测并对不符合安全规则的作出对应的防御处理,从而保证Web应用的安全性与合法性。
二、WAF的工作原理
WAF的处理流程大致可分为四部分:预处理、规则检测、处理模块、日志记录
1. 预处理
预处理阶段首先在接收到数据请求流量时会先判断是否为HTTP/HTTPS请求,之后会查看此URL请求是否在白名单之内,如果该URL请求在白名单列表里,直接交给后端Web服务器进行响应处理,对于不在白名单之内的对数据包解析后进入到规则检测部分。
2. 规则检测
每一种WAF产品都有自己独特的检测规则体系,解析后的数据包会进入到检测体系中进行规则匹配,检查该数据请求是否符合规则,识别出恶意攻击行为。
3. 处理模块
针对不同的检测结果,处理模块会做出不同的安全防御动作,如果符合规则则交给后端Web服务器进行响应处理,对于不符合规则的请求会执行相关的阻断、记录、告警处理。
不同的WAF产品会自定义不同的拦截警告页面,在日常渗透中我们也可以根据不同的拦截页面来辨别出网站使用了哪款WAF产品,从而有目的性的进行WAF绕过。
4. 日志记录
WAF在处理的过程中也会将拦截处理的日志记录下来,方便用户在后续中可以进行日志查看分析。
三、WAF的分类
1. 软WAF
软件WAF安装过程比较简单,需要安装到需要安全防护的web服务器上,以纯软件的方式实现。
代表产品:安全狗,云锁,D盾等
2. 硬WAF
硬件WAF的价格一般比较昂贵,支持多种方式部署到Web服务器前端,识别外部的异常流量,并进行阻断拦截,为Web应用提供安全防护。
代表产品有:Imperva、天清WAG等
3. 云WAF
云WAF的维护成本低,不需要部署任何硬件设备,云WAF的拦截规则会实时更新。对于部署了云WAF的网站,我们发出的数据请求首先会经过云WAF节点进行规则检测,如果请求匹配到WAF拦截规则,则会被WAF进行拦截处理,对于正常、安全的请求则转发到真实Web服务器中进行响应处理。
代表产品有:阿里云云盾,腾讯云WAF等
4. 自定义WAF
我们在平时的渗透测试中,更多情况下会遇到的是网站开发人员自己写的防护规则。网站开发人员为了网站的安全,会在可能遭受攻击的地方增加一些安全防护代码,比如过滤敏感字符,对潜在的威胁的字符进行编码、转义等。
四、WAF的部署方式
1. 透明网桥
2. 反向代理
3. 镜像流量
4. 路由代理
五、 绕WAF的多种方式
为了让大家更清楚的理解绕WAF的方法原理,本次WAF绕过方法的介绍中会增加部分代码示例。
注:本文的代码示例都是在sqli-labs基础上修改的。
正常无拦截规则的代码:
接收用户传递的参数后直接带入数据库中执行。为了方便查看,将查询语句动态输出。
1. 各种编码绕过
腾讯云waf 设置分享
应等保(国家组织)要求,需要对公司网站以及主机安全 加强防护,故购买WAF
照着文档 一般是没什么大问题的
下面是配置时候遇到的几个问题
1.域名配置里如果 ssl证书寄托在 腾讯云,直接 证书 选项下拉勾选 对应的证书即可
2.本地测试
修改本地解析
访问自己的网站
不出意外 会出现(可以多找几个小伙伴帮忙测试)
3. dns 修改
如果没有购买 cdn 是需要另外自己 加解析的 和腾讯操作文档里的一样
如果有cdn 加速, 只需要修改 cdn 主源站里的源站地址即可:
4.说一下 waf 附带的功能:
AI 引擎模式: 开启拦截即可, 具体作用自己搜一下即可
自定义策略:本人设置的 是禁止公网 访问网站的后台 路径
CC防护设置:(没什么可说的,照着设置就好)
防篡改:这个有点坑,只能防护html 文件,也就是说如果公司首页是动态网页就 使用不了这个功能, 但是可以添加其他一些html文件
防信息泄露: 这个是 针对 银行卡和身份证 的,开启即可
5. 攻击详情
正式完成以后,会发现 公司根域名被扫描 还是不少的 。
下面就是当时本地测试时候 的攻击
后续的攻击真的不算少,乱七八糟一大堆攻击
请简要介绍下各家云的优劣势,包括阿里云,腾讯云,亚马逊云,华为云
国内外公有云厂商有很多,就目前中国国内来讲也是好多家,我重点讲一个几个比较大的厂商,AWS是世界级超级云厂商,从技术及解决方案来讲,AWS可以给出一个综合的、完善的解决方案,不好就他家的操作界面比较不友好,上手相对比较难了,而国内云厂商这一点是非常好的,但是国内云厂商在技术层面没有AWS做得好,不管从基础设施到上层的软件技术暂时没办法比较,不过像阿里在中小企业做得比较好,因为一套套针对中小企业的完善解决方案且操作起来比较简单容易,不像AWS要求技术人员必需具备一定技术功底及整合方案能力,还有像腾讯他家在游戏和视频行业做比较完善与突出,但是整体解决方案没有AWS好,毕竟欠缺功能太多了,需加把劲追赶。
腾讯云的发展历程
1999 年-2010 年
在QQ、QQ 空间等王牌产品高速发展中,历经海量服务考验,积累了丰富的云经验,打下坚实的基础和能力,腾讯云雏形初具。 2010 年2 月-2013 年9 月
专注为腾讯开放平台上的创业者提供稳定、可靠、安全的底层的架构,解除后顾之忧,成就创业梦想。
2010 年02 月:腾讯开放平台接入首批应用,腾讯云正式对外提供云服务(包括CDN 等);
2010 年12 月:云服务器、云监控上线、华南区(广州)数据中心开放;
2011 年02 月:云数据库、NoSQL 高速存储上线;
2011 年12 月:Web 弹性引擎上线;
2012 年12 月:腾讯开放平台的第三方开发者累计收益总额超过50 亿元,腾讯云在互联网开发者中赢得良好口碑;
2013 年05 月:腾讯云分析(MTA)上线;
2013 年06 月:云拨测上线。 2013 年9 月至今
腾讯云全面开放,所有用户都有机会使用腾讯的云服务,借助云计算加速成功之路;
2013 年09 月:腾讯云(yun.qq.com)面向全社会开放、云安全上线;
2013 年10 月:负载均衡、对象存储服务上线、移动加速服务“追风”上线
2013 年12 月:腾讯云自主研发的革命性虚拟化平台Vstation 上线
2014 年02 月:关键因子上线
2014 年03 月:亿元扶持计划上线、腾讯Open Data(TOD)上线、推出密钥登录方案
2014 年04 月:华东区(上海)数据中心开放、DDoS 分布式防护系统“大禹”上线
2014 年05 月:移动推送平台“信鸽”上线、云安全认证上线
2014 年06 月:腾讯云计算有限公司成立、香港数据中心开放、应用安全服务“应用加固”上线、
2014 年07 月:获工信部首批“可信云服务认证”、移动解决方案获“2013-2014 年移动应用云”大奖、网站安全防护(WAF)功能上线
2014 年08 月:深度整合DNSPod 的域名解析服务、与ISP 深度合作推出DDoS 智能防护服务、移动推送平台“信鸽”最高同时在线设备超过5000 万,日推送量突破5 亿
2014 年09 月:“蓝鲸”游戏运维平台上线、“安全API”上线
我怎么找不到腾讯云主机防火墙在哪里
windows操作系统的话,试着开始菜单-控制面板-系统和安全-防火墙。
如果是指腾讯云的WAF,该产品属于增值产品,需要购买。
【腾讯云waf】的内容来源于互联网,如引用不当,请联系我们修改。
