题记
最近在攻防项目的时候遇到了云waf,于是就去研究了一下他的原理以及部署方式,故写此篇文章进行总结。如果各位师傅觉得有用的话,可以给我点个关注~~,或者有什么错误请指出~~ 如果师傅们有什么好的建议也欢迎联系我~~ 感谢各位师傅的支持~~
正文部分
云waf的种类(利用阿里云的部署方式)
根据阿里云的文档,通过不同的部署方式,其实可以分为下面这几个大类 https://developer.aliyun.com/article/979824
-
1. CNAME接入
源站公网可达即可接入,采用DNS配置方式,通过修改域名解析,将被防护域名的访问流量指向WAF,WAF根据域名配置的源站服务器地址,将处理后的请求转发回源站,实现网站服务器网络隐身;
-
2. 透明引流接入
云原生全透明模式,一键秒级Bypass,WAF作为独立的反向代理进行流量转发,通过网关自动改变路由实现引流。客户无需修改DNS及对外IP,也无需源站保护。脱离公网链路,延迟更低,更能实现云产品实例级别接入,体现同架构底座的优势;
-
3. 服务化接入
云原生镜像流量,和ALB(应用型负载均衡)深度耦合 WAF只通过镜像流量做安全检测,所有流量转发均有ALB负责,在摆脱网络限制的同时,实现更好的稳定性和性能;
-
4. 混合云/多云部署模式
阿里云WAF可防护云上云下、多云混合、线下IDC、专有云环境,支持流量的全程全量本地/其他公有云处理,阿里云仅设置控制台。可支持私网回源至阿里云专线网络(VPC)针对互联专线或VPC之间的私网流量进行防护。
通俗理解
CNAME接入
基本的原理
可以理解为设置了一个域名的cname解析,或者配置了一个CDN,当我们通过域名进行访问的时候,访问流量优先指向waf的ip,在云waf上面进行过滤和拦截,然后waf根据域名配置的源站服务器地址,将处理后的请求转发到原本的服务器,获取响应
补充:CDN的解析过程
存在的安全问题(waf绕过)
如果我们在对方原本ip出网的前提下,不通过域名进行访问,直接寻找到其真正的ip服务器,也就无法解析到
透明引流接入
这个我的理解是将云waf直接当成一个nignx反向代理,所有的流量都通过nignx,将主站反向代理到waf作为的nginx服务器中,从而实现云waf的保护
其中X-WAF这个开源项目是最符合使用这种技术的:
https://blog.csdn.net/weihaotain/article/details/89377541
https://github.com/xsec-lab/x-waf
补充:反向代理架构
是否存在安全问题
值得注意的是,如果使用的是这种方式进行的云waf部署,通过真实ip是无法进行绕过的,因为他本身互联网公开的就只有nignx的ip,然后进行反向到主站,所以不存在绕过的问题
服务化接入
这个我的理解是将云waf接入到负载均衡的后面,当客户端进行请求的时候,都会通过优先通过负载均衡和云waf,从而实现拦截,或者放行
补充:负载均衡架构
将同一任务分发给多个服务器去运行,能够有效的减少每个服务器的压力,同时当个别服务器出现问题,不会影响网站的正常运行
是否存在绕过问题
这种方式显而易见,他本身互联网公开的就只有nignx的ip,然后进行反向到主站,所以不存在绕过的问题
使用真实ip绕过的案例(sql注入)
使用域名进行访问:存在waf无法执行
寻找到真实ip后,使用证真实ip进行访问,不需要进行poc处理即可绕过
总结
个人认为云waf是否安全,还和他的部署位置,部署方式有关,cname的部署方式可以使用真实ip的方式进行绕过,使用nignx反向代理或者负载均衡结合的方式的,个人感觉是无法通过真实ip进行绕过的,需要去进行规则上的绕过
原文始发于微信公众号(fkalis):【云上攻防】云waf原理特性以及绕过技巧!!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论