发布于周五 15:504天前 当所有业务都部署在云服务器上时,企业正在寻找WAF防护解决方案,包括一系列早期商用和开源的WAF试部署回滚等操作。最后,他们终于在雷驰WAF上获得了更好的适应性,并且不影响业务。 (肯定还有其他可行的方案,但是开源+适配,就不需要横向比较了) 雷驰的一些简单介绍 我个人理解,雷驰WAF和安恒、奇安信等一般成熟商业WAF肯定是有区别的。后一种WAF一般是成熟的网站流量安全解决方案,而雷驰WAF更像是桌面电脑的CPU。它为你提供了核心计算能力和核心实现,但整体解决方案如何组合在一起完全取决于玩家个人的做法。 规则 WAF的核心安全拦截率肯定是基于规则的。迅雷矿池的规则目前是社区版本4.2.0,是在包含所有常见漏洞特征的前提下,然后逐步添加详细的漏洞规则,即特定CVE和漏洞利用的识别(听说后面可以自定义规则)。这对于最初构建安全架构的场景来说绝对足够了。 黑名单 通用保护模块 漏洞CVE具体检测(不完整) 使用不便 由于它是开源的WAF,并且还在逐步迭代和优化的过程中,如果其他商业WAF能够对WAF前端操作界面进行一系列的安全操作,很多都做不到。 1、有安全意识,但无安全警报。在操作界面上可以看到所有触发规则的事件,比较敏感的操作会被拦截。普通规则触发器处于观察状态(严格程度可以自己选择),但这些只有登录雷驰管理端才能看到。如果您不登录或不观看,则不会发生任何事情。 2.没有总结/分析功能,没有类似的报告视图。下面只是一个简单的主页整体图。 3、这个雷吃waf有很多你想要的数据,但是在前端看不到(可以抓包或者在数据库中查表)。 一个简单的例子:受保护的站点可以自定义域名和网站名称,并且可以批量添加域名。这样就可以解决问题。如果一系列站点对应同一个A系统,则可以构建一个A系统,添加所有域名。右上角会有攻击量的汇总;这很好。功能,问题是:批量添加域名后,点击可以看到各个域名路径的详细请求拦截数据。域名不分类,即无论添加多少个网站,内部请求的根级路径就是路径,你看不到是哪个域名路径。但实际上数据包中包含了url-path-request/拦截量,并以json格式传输,只是这个前端函数没有写。 4、查看安全事件功能中,无法自动聚合IP、被攻击域名或攻击类型。您只能使用搜索框输入您想要查看的IP 的所有安全事件。当然,时间可以定制。 开源解决方案 这篇文章主要不详细讲Thunderpool。前面我提到了使用中的一些不便,但我也提到了Thunderpool是一个WAF。我个人认为它是开源网站流量安全防护解决方案的核心CPU。所以有了核心CPU,我们想要有的所有不便和功能都需要单独构建。这个不用担心,雷驰的适应性和兼容性极高。 那么基于此,我简单介绍一下我们尝试过的解决方案 首先,基于对安全事件进行聚合和汇总的思想,我们需要一个siem。通过如下ELK技术架构,我们可以实现一个基于雷驰waf的简单siem 其次,基于这个系统,我们可以使用elastalert或者其他工具,对es上聚合的所有安全事件进行配置报警。 (更进一步,构建开源SOC也不是不可能) 定义规则后,对一些高频、高危事件进行二次检测。如果满足规则,就会产生警报。这里我们使用企业微信机器人接口实现自动通知: 最后 本文只是简单介绍,并没有详细介绍基于雷驰的Siem、报警、总结分析的使用体验和实现。给出一个粗略的架构思想只是为了指导方向。如果您还有其他好的想法,请分享。个人认为雷池waf可玩性非常高。
创建帐户或登录后发表意见