淺談WAF應(yīng)用防火墻部署

一、背景

隨著網(wǎng)上銀行、手機銀行、電子商城等互聯(lián)網(wǎng)及移動金融應(yīng)用的興起，針對WEB類應(yīng)用的攻擊手段也層出不窮，據(jù)統(tǒng)計，2019年出現(xiàn)攻擊方式中，針對WEB類的攻擊占到85.4%左右，相對而言遙遙領(lǐng)先于其他攻擊手段。面對如此多的互聯(lián)網(wǎng)攻擊威脅，傳統(tǒng)的通過運維發(fā)現(xiàn)、開發(fā)項目組從代碼層面進行修復(fù)漏洞的效率已經(jīng)遠遠低于漏洞被利用的效率，于是，一種新的專用于WEB防護的安全產(chǎn)品由此而生——WAF（WEBAPPLICATION FIREWALL），也叫應(yīng)用防火墻。

雖然WAF應(yīng)用防火墻叫做防火墻，可是其工作原理和傳統(tǒng)防火墻截然不同。傳統(tǒng)防火墻主要工作在網(wǎng)絡(luò)層和傳輸層，針對源目的地址，源目的端口和網(wǎng)絡(luò)協(xié)議這五元組進行規(guī)則匹配過濾。而應(yīng)用防火墻工作在應(yīng)用層，其主要通過中間代理的方式，截取網(wǎng)絡(luò)通信中的HTTP流量，再通過其過濾規(guī)則進行分析和攔截，這里要提醒的是，其防護效果取決與對應(yīng)用邏輯的理解，與應(yīng)用邏輯結(jié)合越是緊密，防護效果越好，WAF應(yīng)用防火墻是應(yīng)用層面安全防護的首道防線。

二、WAF應(yīng)用防火墻部署難題

WAF應(yīng)用防火墻雖然可以極大地提升應(yīng)用的安全等級，但是如何部署卻讓很多網(wǎng)絡(luò)架構(gòu)設(shè)計者犯難，實際部署過程中面臨的問題主要有三點：

1、與其他安全設(shè)備旁路部署的方式不同，應(yīng)用防火墻的工作原理要求其必須串行部署在Web服務(wù)器前面；對于網(wǎng)站啟用SSL加解密的，需要部署在SSL解密設(shè)備之后、WEB服務(wù)器之前，而這樣的部署會極大的增加網(wǎng)絡(luò)的復(fù)雜度，對應(yīng)急排錯造成困難；

2、對于存量的WEB類互聯(lián)網(wǎng)系統(tǒng)，新進行串聯(lián)部署WAF設(shè)備，意味著要將現(xiàn)有網(wǎng)絡(luò)連接通路斷開，在變更的過程中可能帶來業(yè)務(wù)的中斷，對變更的方案設(shè)計和實施工藝也帶來很大的挑戰(zhàn)性；

3、應(yīng)用防火墻和應(yīng)用邏輯結(jié)合緊密，如果策略配置不當，或者WAF應(yīng)用防火墻本身產(chǎn)品BUG，很容易造成正常數(shù)據(jù)包被誤攔截的情況，導(dǎo)致業(yè)務(wù)影響事件。

三、WAF應(yīng)用防火墻的工作模式

首先介紹一下WAF應(yīng)用防火墻的工作模式、原理和典型部署架構(gòu)。

1、旁路鏡像方式

旁路鏡像模式通過鏡像方式將請求流量吐給WAF應(yīng)用防火墻，而WAF只能對訪問流量進行檢測和報警，無法實時攔截。由于失去了主動驗證和攔截的能力，旁路部署的WAF應(yīng)用防火墻防護能力大大降低，一般不建議這么部署。但是從運維的角度說，旁路部署是最安全的部署方式，如果只是想學(xué)習(xí)和測試WAF應(yīng)用防火墻對WEB流量的檢測機制，可以嘗試旁路方式。典型部署如下：

圖1.旁路方式部署WAF應(yīng)用防火墻

2、二層透明模式部署

WAF應(yīng)用防火墻可以網(wǎng)橋方式工作在二層網(wǎng)絡(luò)，通過截取請求流量來獲取訪問信息。WAF應(yīng)用防火墻本身不需要配置IP地址，前端請求可以直接發(fā)到后端服務(wù)器，WAF設(shè)備對兩者是透明的，可以當作一根網(wǎng)線，這種部署方式簡單，零配置，如果設(shè)備故障可以進行bypass旁路直通，非常適合簡單網(wǎng)絡(luò)部署。

但是一般大型互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)都是全冗余架構(gòu)，意味著從客戶端到服務(wù)器絕不會只有一條網(wǎng)絡(luò)路徑，那么如果要按照二層代理方式會存在三個問題：一是每條路徑都需要部署WAF應(yīng)用防火墻將極大地提升成本；二是前后請求可能從不同的路徑經(jīng)過不同的WAF應(yīng)用防火墻，而WAF應(yīng)用防火墻之間的數(shù)據(jù)并沒有同步機制，那么與上下文相關(guān)的策略將會失效，導(dǎo)致防護能力降低；三是網(wǎng)絡(luò)路徑確定了，設(shè)備數(shù)量就確定了，無法再進行靈活的擴容。

二層代理方式部署，主要考慮部署在網(wǎng)絡(luò)流量的集中點或者WEB服務(wù)器前端，因此可以考慮部署在負載均衡前面或者WEB服務(wù)器前面：

（1）部署在負載均衡前端，WAF應(yīng)用防火墻需要串聯(lián)在交換機和負載均衡的物理鏈路上，由于一般網(wǎng)絡(luò)中部署多臺負載均衡集群，每臺負載均衡與交換機可能有多條鏈路連接，因此需要串聯(lián)多臺WAF應(yīng)用防火墻。負載均衡備機前端串聯(lián)的WAF設(shè)備由于沒有流量經(jīng)過，成為了熱備機，形成一定的資源浪費。

圖2.二層部署架構(gòu)一

（2）WEB服務(wù)器前端，WAF應(yīng)用防火墻串聯(lián)部署在交換機和WEB服務(wù)器的物理鏈路上，WAF應(yīng)用防火墻設(shè)備需要與WEB服務(wù)器一一對應(yīng)，由于WAF應(yīng)用防火墻設(shè)備價格遠高于WEB服務(wù)器，這種部署將帶來投入成本增加，也不利于后續(xù)的服務(wù)器擴容。

圖3.二層部署架構(gòu)二

3．代理模式

代理模式是將真實服務(wù)器的地址映射到代理服務(wù)器上，客戶端看起來，訪問的就是代理服務(wù)器的地址，此種模式下，WAF應(yīng)用防火墻分別與客戶端和后面的服務(wù)器建立TCP連接，所有流量通過前端網(wǎng)絡(luò)連接發(fā)送給WAF應(yīng)用防火墻，在WAF處理后再通過后端連接轉(zhuǎn)發(fā)到后臺服務(wù)器。

代理模式的典型部署架構(gòu)如下，采用多層負載均衡實現(xiàn)SSL、WAF和WEB的集群部署，可以降低三層設(shè)備之間的耦合性，提供靈活擴容的能力。

圖4.反向代理模式的典型部署架構(gòu)

按照不同的連接方式還可以具體分為反向代理和路由代理。

（1）反向代理部署

反向代理模式下，WAF應(yīng)用防火墻與交換機之間僅需單VLAN互聯(lián)，WAF防火墻與WEB服務(wù)器部署在同一VLAN，默認路由指向前端負載均衡。WEB服務(wù)器從網(wǎng)絡(luò)層僅能觀察到WAF接口的地址，無法直接觀察到客戶端源地址，建議SSL或者負載均衡層面在HTTP頭中插入XFF字段，將源地址插入進去。

圖5.反向代理模式下WAF的連接方式

（2）路由代理部署

在某些情況下，服務(wù)器需要從網(wǎng)絡(luò)層觀察到客戶端的IP地址，這時候需要用到路由代理模式，路由代理依然屬于代理模式的一種。WAF應(yīng)用防火墻通過出入兩個VLAN與交換機連接，WAF應(yīng)用防火墻需要配置出入向的路由，使得流量經(jīng)過WAF后通過路由方式到達后端WEB服務(wù)器。此時，WAF轉(zhuǎn)發(fā)流量將保留源地址，使得WEB服務(wù)器可以直接觀察到客戶端的IP地址。

圖6.路由代理模式下WAF的連接方式

由于負載均衡、SSL、WAF均可以工作在代理模式，目前市場上不乏多功能合一的產(chǎn)品，于是其架構(gòu)部署也有一些變種的方式：

負載均衡具備SSL加解密功能，直接可以省略掉SSL層，問題是SSL不再具備橫向擴展能力，隨著業(yè)務(wù)量的增加，瓶頸將出現(xiàn)在負載均衡設(shè)備上；

圖7.負載均衡具備SSL加解密能力

SSL具備負載均衡功能，SSL可以直接給后面的WAF做負載，省略掉一層負載均衡。問題是要求WAF產(chǎn)品需要具備二層原路返回功能（autolasthop），如果無此能力，將會出現(xiàn)來回路徑不一致的情況。另外，路徑較為復(fù)雜，排錯定位比較困難。

圖8.SSL具備負載均衡能力

同時具備負載均衡、SSL、WAF能力，那么可以直接給WEB服務(wù)器做負載，架構(gòu)極為簡單，但是由于SSL加解密和WAF規(guī)則過濾都極其消耗設(shè)備性能，故只能對小業(yè)務(wù)量應(yīng)用進行部署。

圖9.全功能負載均衡

另外想說明的是，雖然所有WAF產(chǎn)品都自稱具備SSL加解密能力，但是因為性能的原因以及實際部署時候解耦的要求，通常WAF廠商不會推薦在自身產(chǎn)品上啟用SSL功能，所以這種方式僅推薦功能測試時使用。

四、負載均衡策略設(shè)計

考慮到模型的通用性，我們還是推薦將WAF應(yīng)用防火墻部署在路由代理模式下，回到其經(jīng)典代理部署架構(gòu)，要將WAF加入到現(xiàn)有的環(huán)境中，其實是在SSL集群層和WEB集群層中間新增WAF集群層，可以通過切換第二層負載均衡關(guān)聯(lián)的地址池實現(xiàn)WAF集群的部署，這種方式切換可以基本實現(xiàn)業(yè)務(wù)零中斷。

圖10.二層集群變?nèi)龑蛹?/span>

其中，第一層和第三層負載均衡因為沒有架構(gòu)變化，故策略保持不變。第二層負載均衡，由原先的直接給WEB服務(wù)器做負載，改為給WAF集群做負載，這里為了考慮WAF集群整體故障而需要快速隔離的情況，在WAF集群中還添加了WEB服務(wù)器集群逃生通道，其中WAF應(yīng)用防火墻的優(yōu)先級為高，WEB服務(wù)器的優(yōu)先級低，這樣在WAF故障時，負載均衡可以自動切換到二層負載均衡的方式，直接給WEB做負載，因此負載均衡方式采用優(yōu)先級+最小連接數(shù)的策略。

健康檢查方面，建議使用TCP直接監(jiān)控WAF的業(yè)務(wù)端口，這里僅需要考慮監(jiān)控到WAF層面，沒有必要通過HTTP監(jiān)控到業(yè)務(wù)層面。由于本層考慮到可能需要直接給WEB服務(wù)器做負載，故建議會話保持策略與第三層負載均衡保持一致即可。

該架構(gòu)主要是通過網(wǎng)絡(luò)層面調(diào)整調(diào)整策略支持WAF的接入，但是在日常運維排錯中設(shè)計到網(wǎng)絡(luò)、應(yīng)用SSL加解密、安全WAF策略、應(yīng)用WEB服務(wù)器等過多領(lǐng)域，排錯仍然稍顯復(fù)雜，結(jié)合運維實踐，主要有以下三點建議：

1、在每一層集群前部署監(jiān)控，探測每一層的頁面返回狀態(tài)，故障時可以快速定位到具體出現(xiàn)問題的集群；

2、如短時間內(nèi)無法快速定位到故障點，提前準備預(yù)案，優(yōu)先通過負載均衡隔離WAF集群，降低問題排查維度；

3、WAF應(yīng)用防火墻需要具備完整的攔截日志和設(shè)備狀態(tài)監(jiān)控，便于后續(xù)的問題深入分析和策略持續(xù)優(yōu)化。