华为云waf配置（华为交换机云管理配置）

本文目录一览：

• 1、WAF防护有没有什么好的推荐
• 2、我司的waf web应用防火墙支持哪些部署方式
• 3、CDN跟WAF，哪个效果好？

WAF防护有没有什么好的推荐

在又拍云的云安全类别中，WAF防护是其中之一的功能，WAF主要防护的是来自对网站源站的动态数据攻击，可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击。

SQL注入攻击（SQL Injection），

简称注入攻击，是Web开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。

如何预防SQL注入

也许你会说攻击者要知道数据库结构的信息才能实施SQL注入攻击。确实如此，但没人能保证攻击者一定拿不到这些信息，一旦他们拿到了，数据库就存在泄露的危险。如果你在用开放源代码的软件包来访问数据库，比如论坛程序，攻击者就很容易得到相关的代码。如果这些代码设计不良的话，风险就更大了。目前Discuz、phpwind、phpcms等这些流行的开源程序都有被SQL注入攻击的先例。

这些攻击总是发生在安全性不高的代码上。所以，永远不要信任外界输入的数据，特别是来自于用户的数据，包括选择框、表单隐藏域和 cookie。就如上面的第一个例子那样，就算是正常的查询也有可能造成灾难。

SQL注入攻击的危害这么大，那么该如何来防治呢?下面这些建议或许对防治SQL注入有一定的帮助。

1、严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害。

2、检查输入的数据是否具有所期望的数据格式，严格限制变量的类型，例如使用regexp包进行一些匹配处理，或者使用strconv包对字符串转化成其他基本类型的数据进行判断。

3、对进入数据库的特殊字符（'"\尖括号*;等）进行转义处理，或编码转换。Go 的text/template包里面的HTMLEscapeString函数可以对字符串进行转义处理。

4、所有的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中，即不要直接拼接SQL语句。例如使用database/sql里面的查询函数Prepare和Query，或者Exec(qu

我司的waf web应用防火墙支持哪些部署方式

模式一：透明代理模式（网桥代理模式）

原理：

1、当WEB客户端对服务器有连接请求时，TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话，将会话分成了两段，并基于桥模式进行转发。

2、从WEB客户端的角度看，WEB客户端仍然是直接访问服务器，感知不到WAF的存在；

3、从WAF工作转发原理看和透明网桥转发一样。

优势：

1、对网络的改动最小，可以实现零配置部署；

2、通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量，只是WAF自身功能失效；

3、无需配置映射关系

缺点:

1、网络的所有流量（HTTP和非HTTP）都经过WAF，对WAF的处理性能有一定要求；

2、采用该工作模式无法实现服务器负载均衡功能；

3、需配置映射关系

模式二：反向代理模式

原理：

1、将真实服务器的地址映射到反向代理服务器上，此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF，因此在WAF无需像其它模式（如透明和路由代理模式）一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。

2、当代理服务器收到HTTP的请求报文后，将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备，由WAF设备再将应答发送给客户端。

和透明代理的唯一区别是——

透明代理客户端发出的请求的目的地址就直接是后台的服务器，所以透明代理工作方式不需要在WAF上配置IP映射关系。

优势：

可以在WAF上同时实现负载均衡；

缺点：

1、需要对网络进行改动，配置相对复杂；

2、除了要配置WAF设备自身的地址和路由外，还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系；

3、另外如果原来服务器地址就是全局地址的话（没经过NAT转换），还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。

模式三：路由代理模式

与网桥透明代理的唯一区别是——

该代理工作在路由转发模式而非网桥模式，其它工作原理都一样。由于工作在路由（网关）模式因此需要为WAF的转发接口配置IP地址以及路由。

优势：

1、对网络进行简单改动，要设置该设备内网口和外网口的IP地址以及对应的路由；

2、可以直接作为WEB服务器的网关，但是存在单点故障问题；

缺点：

1、不支持服务器负载均衡功能；

2、存在单点故障

3、要负责转发所有的流量

模式四：端口镜像模式

原理：

1、只对HTTP流量进行监控和报警，不进行拦截阻断；

2、该模式需要使用交换机的端口镜像功能，也就是将交换机端口上的HTTP流量镜像一份给WAF；

3、对于WAF而言，流量只进不出。

优势：

1、不需要对网络进行改动；

2、它仅对流量进行分析和告警记录，并不会对恶意的流量进行拦截和阻断；

3、适合于刚开始部署WAF时，用于收集和了解服务器被访问和被攻击的信息，为后续在线部署提供优化配置参考。

4、对原有网络不会有任何影响。

缺点：

不会对恶意的流量进行拦截和阻断。

CDN跟WAF，哪个效果好？

云waf：在配置云waf时（通常是CDN包含的waf），DNS需要解析到CDN的ip上去，在请求uri时，数据包就会先经过云waf进行检测，如果通过再将数据包流给主机，例如TX的云waf