界面模式
登录
注册
会员
帮助
加入收藏夹
客服微信
瑞星卡卡安全论坛
技术交流区
反病毒/反流氓软件论坛
菜鸟学堂
第一代各种Web应用防火墙的缺陷汇总
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星个人防火墙V16
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
技术交流区
反病毒/反流氓软件论坛
可疑文件交流
恶意网站交流
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
影音贴图
瑞星安全游戏
活动专区
本站站务区
站务
瑞星“1+2”全新解决方案巡展在广州画上圆满句号
叶院长揭秘:瑞星如何运用AI技术革新网络安全
俄乌冲突加剧网络攻击风险 白俄罗斯政府遭APT攻击
瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
实力拉满 瑞星第四十七次通过VB100测评
携手老友,拥抱新精彩 —— 新论坛新活动,感谢你的陪伴
护航司法,瑞星助力山西省高院构建安全防线
人工智能在网络安全领域的风险和机遇
1
1
/ 1 页
跳转
页
第一代各种Web应用防火墙的缺陷汇总
收藏
本主题由
版主
天月来了 于 2010-9-13 19:52:02 执行 移动主题 操作
来毒我
初生襁褓狮
帖子:
1
注册:
2010-08-26
来自:
发表于: 2010-09-13 18:27
|
只看楼主
短消息
资料
字号:
小
中
大
1楼
第一代各种Web应用防火墙的缺陷汇总
第一代各种Web应用防火墙的缺陷汇总
0x01
部署
a.
伪透明模式:
第一代的
WAF
大多只能支持
200
个
Web
以下,或者同一个
D
类子网内的透明。无法做到网线级别的透明。第一代多数为伪透明部署(需要设置
IP
地址、端口、域名等信息),无法做到自适应(接入即可防护)。
b.
极少有支持路由模式的:
第一代的
WAF
多数没有这个功能。路由模式可以只将
HTTP
流量给
WAF
检测。比如出口是
1000Mbps
的,而
Web
带宽只有
100Mbps
,如果不支持路由模式,就只能浪费的去使用
1000Mbps
的设备。
c.
鸡肋的代理模式:
这个几乎都有的功能,性能之差可想而知,一次请求要建
2
次连接。并发数降低一半,带宽消耗增加一倍,非常不好。
0x02
检测手段
a.IPS
修改而来:
基本依赖字符串匹配与正则表达式,修改国外
SNORT
的引擎而来,解码不完善、效率极低。
Unicode
编码的几乎很少有支持的。数据包碎片很容易绕过检测引擎。
b.
基于策略:
国外厂商比较喜爱,但配置及其复杂,网页个数多的情况下,性能呈几何方式下降。在一个超过
30
个网站的网络里,几乎不可用。利用一些
CMS
的漏洞,很容易绕过国外厂商此种
WAF
的检测。
0x03
规则
a.
简单的字符串过滤规则:
比如把
select
、
insert
等加为过滤关键字,一旦遇到此种字符串就视为攻击,误报极为严重。绕过方法也很简单,稍微大小写变化即可,比如写成:
sEleCt
,
INsErT
。有的甚至把一个短语写好多种写法,比如
and
,规则写
6
条
AND/aND/AnD/And/anD/aNd
。如果一个短语很长,这种规则如何匹配呢?
b.
规则过多:
无用规则占多数,检测速度极为缓慢。如有的厂商采用美国开源的“
SNORT
”或者“
MOD_SECURITY
”规则,规则数量很多,但误报严重,有的甚至为鸡肋。国内
CMS
的漏洞无法防御。
0x04
性能。
a.
每秒处理
HTTP
请求数:
熟话说“外行看热闹,内行看门道”。很多人都认为吞吐量的大小是评价
WAF
性能的指标,比如是
200Mbps
还是
1000Mbps
。在请求量低的情况下,一个伪千兆口的“百兆
WAF
”一般都可以吞吐
700Mbps
的数据量。实际上“每秒处理
HTTP
请求数”才是衡量
WAF
的关键指标。有的厂商,甚至把每秒请求数在
1
万的
WAF
当千兆的产品来慢,实际其真正能力只在两百兆左右。一个千兆的
WAF
,每秒处理
HTTP
请求数量至少得在
5
万以上,才可能真正可以处理大量的请求。
b.
客户并发数低:
很多
WAF
都是采用反向代理或者透明反向代理的工作方式。这些方式下,并发数都很难高于
2
万,国外(俄罗斯)性能最好的反向代理服务器也只能达到
2.5
万并发,所以采用反向代理的
WAF
并发数低就不足为奇了。一旦并发超过
2
万,网络立即拒绝服务。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
分享到:
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
2
贡献:
0
金钱:
0
状态:
离线
等级:
会飞的鱼0000
禁止发言
帖子:
8321
注册:
2009-06-09
来自:
发表于: 2010-09-13 19:47
|
短消息
资料
字号:
小
中
大
2楼
回复:第一代各种Web应用防火墙的缺陷汇总
该用户帖子内容已被屏蔽
是谁 与我镜中同行?
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
8748
贡献:
401
金钱:
0
状态:
离线
等级:
<<
上一主题
|
下一主题
>>
1
1
/ 1 页
跳转
页
论坛跳转...
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
北方区
华东区
华南区
木马入侵拦截有奖体验专区
瑞星2009版查杀引擎测试
瑞星2009测试版问题反馈
瑞星杀毒软件2009公测
瑞星个人防火墙2009公测
瑞星全功能安全软件2009公测
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星安全联盟论坛
瑞星杀毒软件V16+
V16+新引擎测试专区
瑞星全功能安全软件
瑞星杀毒软件2011
瑞星个人防火墙V16
广告过滤
瑞星个人防火墙2011
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
瑞星手机安全助手
瑞星路由安全卫士
路由系统内核漏洞
APP保镖
瑞星安全浏览器
瑞星安全助手
卡卡上网安全助手
瑞星软件管家
瑞星加密盘
账号保险柜5.0
瑞星专业数据恢复
技术交流区
反病毒/反流氓软件论坛
菜鸟学堂
安全技术讨论
可疑文件交流
恶意网站交流
瑞星云安全网站联盟专版
每日网马播报
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
Rising茶馆
影音贴图
瑞星安全游戏
凡人修真
华人德州扑克
一球成名
星际世界
神仙道
赢家竞技
梦幻飞仙
三国演义
仙落凡尘
秦美人
攻城掠地
女神联盟
风云无双
傲视九重天
深渊
魅影传说
热血屠龙
雷霆之怒
大天使之剑
传奇霸业
无上神兵
斗破沙城
全民裁决
蛮荒之怒2
活动专区
瑞星积分商城
实习生专区
实习生交流区
实习生签到区
实习生考核区
“安全之狮”校园行活动专版
历史活动
论坛9周年活动专区
关注灾情 同心抗灾
本站站务区
站务
版主之家[限]
禁言禁访记录
待审核
瑞星客户俱乐部[限]
Apple ID不设“两步验证”的悲剧 by baohe
年后勒索病毒活跃 瑞星提供全面分析与防范建议
我的主题
我的帖子
我的精华
我的好友
文本模式