本期為【安天攻防演練專題】系列的第七期，將分享分享安天下一代 WAF 防護系統的 WEB 在線實時主動防御能力，支撐用戶在攻防演練期間有效抵御未知的 Web 攻擊、提高防護效率。

Web 應用防火墻（ Web Application Firewall，簡稱：WAF ）通常部署于 Web 網站前端，為目標網站提供在線實時的安全防護。WAF 對網站的 HTTP 流量進行解析，基于解析結果進行深度 Web 攻擊掃描，檢查流量數據中是否包含 XSS、SQL 注入、已知漏洞等相關 Web 攻擊特征，對觸發安全策略的流量進行實時的告警和阻斷。

圖1 Web應用防火墻作用示意

WAF 在攻防演練中是一款不可或缺的 Web 安全防護設備，是保護 Web 服務器最重要的一道安全門。安天下一代 WAF 防護系統以積極防御為安全理念，一改傳統 WAF 以特征匹配為中心的設計思路，從用戶自身的網站安全出發，通過對網站關鍵業務、數據進行動態變形、封裝，結合網站代碼反調試保護和客戶端環境實時主動探測技術，以我為主對網站進行主動防護，能幫助用戶在演練期間化被動為主動。

安天下一代 WAF 防護系統的四大產品價值，可有效支撐用戶擺脫傳統 WAF 在攻防演練中被動挨打的局面。

1.價值一：增強的傳統 WAF 安全功能

1.強化的攻擊特征檢測技術

高速特征關鍵字預匹配技術保證在超大流量下實現對特征的全面檢測；特征關聯匹配技術提供強大的特征描述能力，支持對復雜行為特征進行定義；完善的 Web 遞歸解碼引擎，有效應對攻防演練中的各種攻擊檢測規避技術。

2.全方位的 WebShell 檢測手段

產品從上傳文件、RFI（Remote File Inclusion）攻擊防護、WebShell 指紋檢測、基于訪問授權的 WebShell 檢測等多個環節全方位檢測 WebShell ，可有效防止網站在演練期間遭受掛馬攻擊。

3.API 安全防護

通過 API 傳輸的數據類型通常為 JSON 或 XML 格式。產品針對該格式數據進行專門的解析，并基于解析的結果對數據格式與元素進行規范性檢查和攻擊特征檢查。確保攻防演練過程中網站對外的 API 服務安全。

4.客戶端運行環境安全加固

從近年攻防演練趨勢來看，攻擊方越來越多地通過攻擊客戶端來間接完成最終對目標網站的滲透。客戶端瀏覽器安全功能通過插入相關瀏覽器安全屬性對客戶端進行安全加固，彌補用戶網絡安全環境短板，將 WAF 的安全防護能力延展到 Web 客戶端，從而提升用戶 Web 應用鏈的整體安全性。

5.強大、靈活的安全策略定制

產品允許用戶關聯多種 HTTP 元素和變量來定義具有復雜邏輯的復合安全策略，應對演練期間不同場景下的安全需求，有效避免產品的定制開發。具體的產品支持的元素和變量包括 URL、參數、HTTP 頭部字段、請求資源類型、HTTP 返回碼、來源 IP、客戶端地理位置、用戶名、時間范圍、觸發頻度等。

6.網頁防篡改

網頁防篡改功能能夠鎖定被保護的網站頁面，即使發生目標網站頁面被攻擊者篡改情況，依然能向用戶提供正常的頁面服務。網頁防篡改在攻防演練中能夠起到亡羊補牢的作用，最大限度消除網站漏洞帶來的負面影響。

7.豐富的 HTTP 訪問控制方式

產品提供 IP 黑名單、Geo 訪問控制、URL 訪問控制、Host 訪問控制等多種 HTTP 訪問控制方式。在演練中能對攻擊來源進行高效的封堵。同時對外提供 RESTFul API 接口，實現與其它安全類產品的聯查、聯防。

2.價值二：自學習快速創建安全策略、防御 0Day 攻擊

自學習功能能夠自動分析、學習目標網站的流量，如網站拓撲結構、參數詳細信息、常用 HTTP 方法以及特征誤報等。通過自學習，產品可以快速地生成擬合目標網站的最佳配置，極大地縮短了演練前期 WAF 部署、調試的周期，并大大提高了配置定義的準確度，規避了人工創建安全策略存在的弊端。

圖2 安天下一代 WAF 防護系統自學習邏輯

自學習通過關聯“特征檢測”可以在演練期間幫助用戶自動處理誤報，將用戶從繁雜的誤報處理工作中解放出來，著重應對、處理更為關鍵的安全問題。自學習經過對網站流量分析與統計，能夠學習業務參數的相關細節，并為業務參數創建基于白名單的規范策略。這種白名單機制的參數規范策略可以有效地應對 0Day 攻擊，阻斷帶有不符合預期參數規范的 HTTP 請求，使得攻擊者無法通過構造參數的內容來利用 0Day 漏洞。

3.價值三：綜合的自動化攻擊防御方案

針對近年來攻防演練中不斷增多的 AI 和自動化相關工具的使用，產品從用戶業務安全加固、關鍵資源防護、業務代碼保護、客戶端環境主動探測及驗證等多個維度提供綜合的自動化攻擊防護解決方案。

1.對用戶關鍵業務進行安全加固

產品可以對用戶業務的各個環節進行安全加固，如注冊、登錄、查詢、下單等業務環節，有效地防范攻擊者利用自動化工具進行虛假業務交易、薅羊毛、賬號撞庫等活動。通過對用戶業務的安全加固增加了自動化工具的攻擊難度和成本，使得自動化工具無法簡單、直接地攻擊用戶的業務，攻擊者無法直接控制和構造業務參數和訪問令牌。

2.對網站業務資源的專門防護

產品通過對用戶業務 URL 進行加密、添加一次性訪問 Token、HTML 鏈接元素動態變形等技術對用戶的關鍵業務資源提供專門的防護，有效防止用戶業務資源被數據爬蟲竊取。

3.客戶端環境主動探測

產品通過在網站回應的頁面中插入環境探測腳本，對頁面最終運行的客戶端環境進行采樣、探測，搜集客戶端環境的各種參數和用戶事件，如瀏覽器版本、客戶端類型、用戶的鍵盤、鼠標事件等，綜合評判客戶端是否是真實的瀏覽器環境。

4.自動化工具被動檢測

產品具有機器人被動探測機制，通過在服務器回應的頁面中插入機器人誘餌，誘使機器人訪問，檢測惡意機器人客戶端。

5.用戶業務代碼反調試防護

產品具有用戶代碼反調試防護能力，通過在用戶的代碼中插入反調試干擾指令，使得攻擊方無法對被保護的代碼進行跟蹤、調試。這種方式在演練期間增加了攻擊方的攻擊成本，保護網站的代碼邏輯不被攻擊方所破解。

6.靈活、多樣的人機驗證方式

產品提供腳本挑戰和驗證碼的人機驗證方式。對于普通的自動化工具，由于其不是真實的瀏覽器，無法成功運行產品的挑戰腳本，無法通過驗證。這種腳本挑戰方式優點在于其過程對于終端用戶完全透明，不會影響用戶體驗。

對于使用瀏覽器引擎（無頭瀏覽器）開發的高級自動化工具，通過驗證碼方式可以對其進行識別。該方式的優點在于即使安全策略出現誤報，只要用戶在輸入正確的驗證碼后依然能正常訪問網站業務。

4.價值四：用戶業務安全防護

用戶業務安全防護功能能夠抵御攻防演練中針對用戶業務層面的攻擊。

1.用戶識別與跟蹤

監控網站用戶的登錄過程，對用戶身份進行識別，將業務流量映射到具體的用戶。在用戶識別的基礎上，進一步跟蹤用戶的業務操作。對于用戶觸發的所有安全策略告警，產品都能對應到具體的用戶，這種能力使得產品具備從用戶業務的視角對安全事件進行調查、回溯。

2.用戶認證令牌防護

產品通過對用戶認證相關信息進行加密與重放保護，防止攻擊者對用戶認證相關信息進行篡改、竊取與重放，保證用戶認證信息的安全存儲與使用。

3.用戶業務邏輯漏洞安全防護

當網站存在業務漏洞時，攻擊者可能利用該漏洞提升自身權限或訪問未授權的網站資源。產品密切監控業務用戶的權限狀態，實時檢測用戶權限狀態的異常變化，及時阻斷異常授權的訪問。

4.基于用戶業務的訪問控制

基于產品的用戶身份識別和跟蹤能力，實現從用戶業務層面進行訪問控制，支持禁止某一用戶對特定業務的訪問控制。

下期預告

下期為【安天攻防演練專題】系列的第八期，將分享在攻防演練期間如何幫助 WEB 業務系統擁有“威脅自免疫”能力，同時與傳統 WEB 網站安全防護產品協作，有效實現“雙重防護”。