文章目录
1 WAF
WAF(Web Application Firewall) 是一种专门用于保护 Web 应用程序的网络安全技术,通过监控和过滤 HTTP/HTTPS 流量,防御针对 Web 应用的恶意攻击。以下是关于 WAF 的详细介绍:
1.1WAF 的核心功能
- 攻击防护:
拦截常见的 Web 攻击,例如:- SQL 注入(通过恶意 SQL 语句窃取数据)
- 跨站脚本(XSS)(注入恶意脚本攻击用户)
- 文件包含/目录遍历(非法访问服务器文件)
- CSRF/DDoS 攻击(伪造请求或流量洪泛攻击)
- 规则引擎:
基于预定义规则(如 OWASP Top 10)或自定义规则,识别并阻断可疑请求。 - 流量监控与分析:
实时监控流量,提供攻击日志和可视化报表,帮助分析威胁趋势。 - 防护模式:
支持 主动拦截(直接阻断攻击)或 被动检测(仅记录攻击行为)。
1.2 WAF 的部署类型
- 硬件型 WAF:
部署在本地网络的物理设备,适合对性能要求高的大型企业。 - 软件型 WAF:
以软件形式集成到服务器(如 ModSecurity),灵活但依赖服务器资源。 - 云 WAF:
通过 SaaS 模式提供(如 Cloudflare、阿里云 WAF),无需部署硬件,适合中小型企业和云原生应用。
1.3 WAF 的应用场景
- 保护敏感数据:
适用于金融、电商、医疗等行业,防止用户数据泄露。 - 合规要求:
满足 GDPR、PCI DSS 等法规对 Web 安全的要求。 - API 防护:
保护 RESTful API 或 GraphQL 接口,防止恶意调用。 - 防爬虫与滥用:
阻止恶意爬虫、暴力破解或垃圾注册。
1.4 主流 WAF 产品
- 开源方案:
- ModSecurity:与 Nginx/Apache 集成的开源 WAF,高度可定制。
- NAXSI:轻量级 WAF,专为 Nginx 设计。
- 商业方案:
- Cloudflare WAF:提供云防护和 DDoS 缓解。
- Imperva:企业级 WAF,支持复杂规则和机器学习。
- 阿里云 WAF:集成于阿里云生态,适合国内业务。
- 云原生服务:
AWS WAF、Azure WAF 等,与云平台无缝集成。
1.5 如何选择 WAF?
- 业务需求:
根据 Web 应用的规模、敏感性和合规要求选择类型(硬件/软件/云)。 - 性能影响:
确保 WAF 不会显著增加延迟(如云 WAF 通常优化较好)。 - 易用性:
界面是否友好?是否支持自定义规则和自动化更新? - 成本:
开源方案成本低但需技术维护;商业方案提供全面支持但费用较高。
1.6 注意事项
- 误报与漏报:
WAF 可能误判正常流量为攻击(需调整规则)或漏过新型攻击(需更新规则库)。 - 多层防护:
WAF 需与防火墙(FW)、入侵检测系统(IDS)等配合,形成纵深防御。 - 定期维护:
更新规则库、分析日志、优化策略,以应对不断演变的攻击手法。
总结:WAF 是 Web 安全的关键防线,能有效降低数据泄露和业务中断风险。选择时需结合自身业务特点和技术能力,确保安全性与性能平衡。
1.7 waf总结和演示
原理:web应用防火墙,旨在提供保护
影响:常规web安全测试手段受到拦截
演示:这里使用哥斯拉测试用IIS搭建的网站,waf选择D盾。
未安装D盾防护模块测试如下图所示:
安装D盾防护模块测试如下图所示:
其他方式搭建网站和其他waf这里不再一一测试。
2 CDN
CDN(Content Delivery Network,内容分发网络)是一种分布式服务器网络,通过将内容缓存到全球多个节点,使用户能够从最近的服务器获取数据,从而加速网站访问、提升稳定性并减少源服务器负载。以下是CDN的核心要点:
2.1 核心原理
- 边缘节点:CDN在全球部署多个边缘服务器(PoP点),缓存静态资源(如图片、视频、CSS/JS文件)。
- 就近访问:用户请求被自动路由到地理距离最近的节点,降低延迟。
- 回源机制:若边缘节点无缓存,则从源服务器拉取内容并缓存。
2.2 关键功能
- 加速访问:减少网络延迟,提升加载速度。
- 负载均衡:分散流量,避免源服务器过载。
- 安全防护:提供DDoS防御、WAF(Web应用防火墙)等。
- 带宽优化:通过压缩和缓存减少带宽消耗。
2.3 典型应用场景
- 静态资源分发:网页、图片、视频流(如Netflix、YouTube)。
- 动态内容加速:API、实时数据(通过路由优化)。
- 软件下载:游戏更新包、APP安装文件。
- 直播与点播:低延迟视频传输。
2.4 优势
- 用户体验提升:降低延迟,减少缓冲。
- 高可用性:节点冗余,避免单点故障。
- 全球化覆盖:尤其利于跨国业务。
- 成本节约:减少源服务器带宽费用。
2.5 主流CDN服务商
- 商业服务:Cloudflare、Akamai、AWS CloudFront、阿里云CDN、腾讯云CDN。
- 开源方案:Nginx缓存、Varnish、Traefik。
2.6 技术实现
- DNS解析:通过智能DNS将用户导向最优节点。
- 缓存策略:设置TTL(过期时间),平衡新鲜度与效率。
- 协议优化:支持HTTP/2、QUIC、Brotli压缩等。
2.7 注意事项
- 缓存更新:需合理配置,避免内容过期。
- 成本控制:按流量/请求计费,需监控用量。
- 安全性:确保HTTPS加密,防范缓存污染。
2.8cdn安全测试和演示
原理:内容分发服务,旨在提高访问速度
影响:隐藏真实源IP,导致对目标测试错误
演示:阿里云备案名全局CDN加速服务,windows+BT宝塔面板+CDN服务
第一步:配置宝塔的域名绑定,如下图所示:
第二步:全站加数CDN
配置全栈cdn加速:
- 等待几分钟生效
第三步:添加DNS CNAME记录
根据配置向导,配置cname:配置生效如下图所示,
cmd 命令测试
C:\Users\Administrator>ping cdn.gaogzhen.com 正在 Ping cdn.gaogzhen.com [27.221.44.52] 具有 32 字节的数据: 来自 27.221.44.52 的回复: 字节=32 时间=8ms TTL=56 来自 27.221.44.52 的回复: 字节=32 时间=8ms TTL=56- cdn生效
在线平台测试,如下图哦所示:
如果对IP:27.221.44.52进行安全测试,会失败,不是网站的真实IP;如果对该网站进行测试,需要绕过cdn找到真实(源)ip地址,后面讲解。
测试一个网站是否用开启cdn加速,通过在线平台ping测试,如果解析IP多个不一致,说明开启cdn加速。
结语
❓QQ:806797785
⭐️仓库地址:https://gitee.com/gaogzhen
⭐️仓库地址:https://github.com/gaogzhen
[1]D盾官网[CP/OL].
[2]站长工具-ping检测[CP/OL].