绕过WAF防火墙？

现实中的Web服务，可能潜伏各种Bug漏洞，即便积极的定期进行Web扫描，也不保证万无一失，基于这种原因，应运而生了Web防火墙WAF，最常见的是在基于代理模式的Web网关系统，加入威胁检测功能。

代理模式，原理是将直接发给Web服务器的流量，先发给另一台Web服务器，由这台Web服务器先判断用户请求中的HTTP协议数据，是否存在可疑的危险输入数据，如果发现了恶意攻击行为，可以进行拒绝。如果是正常请求，确认后，将用户的Web请求转发给业务服务器。

代理的服务器先于业务服务器，取得用户的请求数据， 可以进行基于简单的正则匹配，通过创建威胁字符正则规则，发现用户请求数据的问题。为了检索性能考虑，使用语义的威胁分析算法。基于大量的正常请求URI样本、异常请求URI样本，用神经网络算法建模，通过模型算法发现威胁。

总体来说，以上的防火墙威胁算法，还是基于“规则”描述检测HTTP协议数据，和建立在数据样本上的数据建模。基于正则，正则要全，基于语义分析，原语要够，基于大数据建模、数据样本要全，算法要优。但是这些方法，未覆盖所有威胁攻击用例，一旦遗漏，会出现误报、漏报，被绕过。

基于OpenResty代理模式，快速创建的WAF防火墙，最简单的安全规则构建方式是：采用正则表达式，而正则表达式做到大而全，要付出很大的性能代价，对于Web业务服务的响应时间，有延缓和拖慢的作用，并且一旦正则表达式不能覆盖所有的漏洞，防火墙的防护效果会受到影响。

基于语义分析的分析算法，本质还是基于规则， 但因为语义分析算法上有优势，要比正则的性能好多，还可以避免正则风暴这种情况。而语义分析算法也同样存在误报。

大数据建模需要一个适合时宜的算法，例如LSTM算法。需要足够多的正常请求URI样本和异常请求URI的样本数据。 算法和样本的质量，影响威胁算法分析有效性。

WAF防火墙的威胁分析手段，无论是那种，越是大而全，就同比需要消耗更多机器性能开销。随着新生Web漏洞出现，以上这些检测方法都需要适应新的漏洞的特征的变化，有时候甚至，WAF系统软件本身的软件漏洞，一样可用于绕过WAF。基于代理模式的Web网关，作为7层网络的安全威胁检测手段、在防护业务安全、API安全、网关认证、限速、限流等多方面发挥作用。

所以，在《墨守之道-Web服务安全架构与实践》这本书中，我们向大家介绍了基于OpenResty的WAF，同时，也介绍了针对WAF防火墙的绕过技术。