ShareWAF是一款強大的動態防禦WAF產品,而且功能很豐富。
這些豐富的功能,可以給網站建立起多重安全防護屏障。然而很多時候,我們不是需要使用其全部功能的,合理的使用某些,甚至是某個功能,就可以很好的滿足自己的網站防護需求。
ShareWAF的很多功能是相對獨立的。
比如AI風控,就是一個獨立的防護功能,可透過高度自定義規則,實現多領域防禦,
比如防常見的SQL注入、COOKIE注入、XSS,以及撞庫、應用層DDOS等自動化攻擊。
在ShareWAF中開啟此功能,首先需要手動編輯rulemod。js,設定enable值為1,然後開啟rules。js編輯規則。當然,編輯後一定要記得儲存和重啟ShareWAF。
下面將給出一些規則案例,並演示防護效果。
注意各個例子中的type型別,每個不同的型別都是一種獨立的規則分類。
一、防URL中的SQL注入
以防常見的:select * from admin為例,規則可以這樣寫:
規則說明:
id號,用作唯一標識,假如發生誤報,可根據id確定是哪一條規則;
type
欄位寫url表示檢測url;
enable值為1表示啟用該規則,如果為0則不啟用;
match中是具體的規則條件,滿足條件,此規則才視為被觸發。
規則觸發、防護效果:
二、防請求頭欄位中的威脅
可用於防掃描、防SQL注入、Cookie注入等。
本例以檢測請求頭中的user-agent欄位是否存在Mozilla字元為例,如果檢測到,就認為是威脅,
規則如下:
用火狐瀏覽器發起訪問,user-agent欄位便符合這個規則,攔截效果如下:
三、防護表格提交內容、檔案上傳中的攻擊
可用於防止非法檔案上傳、木馬上傳、SQL注入等。
示例規則:
當上傳。js檔案、提交且欄位中不包含username,則觸發規則。
防護效果如下:
先模擬一個帶檔案上傳的form:
提交後,觸發規則、產生攔截:
四、非正常訪問防護
可用於檢測和防護機器人訪問、CC、應用層DDOS、爬蟲、批次註冊、自動發貼。
其原理是:如果一定時間範圍內、某使用者、對某頁面連續進行高頻訪問,則視為異常。
如:
注意:在此類規則中*號表示任意頁面、任何一條match條件成立,則規則觸發。
上面的規則中,是建立了兩個條件:
time_range單位是分鐘,即:1分鐘內,任意頁面被訪問總量達到100次,或login。html頁面被訪問5次,即觸發規則。
訪問5次,觸發規則:
五、風控
可用於檢測自動化攻擊,如:撞庫、應用層DDOS等。
比如下面的規則,如果連續5次訪問index。html,但沒有訪問到login。html,視為觸發規則:
連線訪問index。html,觸發規則:
當規則觸發、產生防護攔截後,會在一定時間內封禁訪問,封禁時長可在rulemod。js檔案中設定,欄位是block_time,單位是分鐘。
ShareWAF這套基於規則的風控功能,其實就是一套傳統的WAF。準備好規則,便可以實現很好的網站安全防護效果。然而,這才僅僅是ShareWAF的眾多防護功能中的一個而已。
除此之外,ShareWAF還有眾多的重量級安全防護功能,如:JS多型保護、裝置指紋大資料防護、前端WAF、網頁防篡改等等。ShareWAF,真的不只是WAF!