- 路径识别与规则配置基础
- 首先需要了解 WAF 是如何识别 URL 路径的。一般来说,WAF 会解析 HTTP 请求中的 URL 部分,将其拆分为协议(如 http 或 https)、主机名、路径和查询参数等部分。例如,对于 URL“https://yunaq.com/products/list?category=electronics”,“/products/list” 就是路径部分。
- 大多数 WAF 都提供了规则配置界面或配置文件,用于设置针对不同 URL 路径的防护规则。在配置规则时,要精确地指定需要防护的 URL 路径,可以使用通配符等方式来匹配一组相似的路径。
- 基于路径的访问控制规则
- 白名单和黑名单设置
- 白名单路径:可以将允许访问的特定 URL 路径添加到白名单中。只有在白名单中的路径才能被正常访问,其他路径则会被拦截。例如,对于一个电商网站,只有 “/products”(产品展示)、“/checkout”(结账)和 “/account”(用户账户)这些路径是用户正常操作需要访问的,可以将它们添加到白名单,这样可以防止用户访问到未授权的路径,如管理后台路径。
- 黑名单路径:与白名单相反,将已知的恶意或不需要访问的 URL 路径添加到黑名单。当用户请求访问黑名单中的路径时,WAF 会直接拦截该请求。比如,如果发现有攻击者经常尝试访问 “/admin”(管理员登录)路径进行暴力破解,就可以将 “/admin” 添加到黑名单。
- 用户角色和权限匹配路径访问
- 根据用户的角色和权限来控制对 URL 路径的访问。例如,在一个企业内部系统中,普通员工可能只能访问 “/employee – portal”(员工门户)路径来查看个人信息和工作任务,而管理员可以访问 “/admin – portal”(管理员门户)路径进行系统管理。WAF 可以与企业的身份验证系统集成,根据用户登录后的角色信息,判断其是否有访问特定路径的权限。
- 白名单和黑名单设置
- 针对路径的攻击检测规则
- SQL 注入检测
- 对于包含动态数据库查询的 URL 路径,如 “/products/search”(产品搜索)路径,WAF 可以重点检测是否存在 SQL 注入攻击。它会检查路径中的参数以及请求中的其他部分(如查询参数)是否包含 SQL 注入的特征。例如,如果请求中的参数包含 “’ OR 1=1 –” 这样的 SQL 注入语句,WAF 可以识别并拦截该请求。
- 跨站脚本攻击(XSS)检测
- 在用户可以输入内容的 URL 路径,如 “/comments/submit”(评论提交)路径,WAF 会检测是否存在 XSS 攻击。它可以检查提交的内容中是否包含 JavaScript 脚本标签或其他恶意脚本代码。如果发现有类似 “<script>alert(‘XSS’)</script>” 这样的内容,WAF 会阻止该请求,防止恶意脚本在用户浏览器中执行。
- 路径遍历攻击检测
- 对于涉及文件系统访问的 URL 路径,如 “/files/download”(文件下载)路径,WAF 需要检测路径遍历攻击。攻击者可能会尝试通过修改路径参数来访问服务器上的其他敏感文件。WAF 可以检查路径参数是否超出了允许的范围,例如,如果参数试图访问 “../admin – config.ini”(上级目录中的管理员配置文件),WAF 可以识别并拦截该请求。
- SQL 注入检测
- 路径流量限制和异常监测
- 速率限制
- 可以对特定的 URL 路径设置访问速率限制。例如,对于 “/api/endpoint”(API 端点)路径,为了防止 API 被滥用,可以设置每分钟最多允许 100 次访问。如果超过这个限制,WAF 可以暂时阻止来自该 IP 地址的请求,或者将其标记为可疑请求进行进一步观察。
- 流量模式异常检测
- WAF 可以监测特定 URL 路径的流量模式。正常情况下,不同路径的流量在时间分布、请求大小、请求来源等方面都有一定的规律。如果某个路径的流量出现异常,如突然有大量来自不同 IP 地址的请求访问 “/promotion/claim”(促销活动领取)路径,WAF 可以判断可能存在恶意攻击,如 CC 攻击(分布式拒绝服务攻击的一种),并采取相应的措施,如暂时封锁可疑 IP 地址或增加验证码验证环节。
- 速率限制