关于安全防护:利用京东云Web应用防火墙实现Web入侵防护

摘 要

本指南形容如何利用京东云Web利用防火墙（简称WAF），对一个简略的网站（无论运行在京东云、其它私有云或者IDC)进行Web齐全防护的全过程。该指南包含如下内容：

1 筹备环境
1.1 在京东云上筹备Web网站
1.2 购买京东云Web利用防火墙实例
2 配置Web利用防火墙
2.1 减少Web利用防火墙实例的网站配置
2.2 在云平台放行WAF回源IP
2.3 本地验证配置
2.4 批改域名解析配置
3 测试Web防护成果
3.1 发动失常拜访
3.2 发动异样攻打
3.3 剖析平安报表
4 环境清理

1 筹备环境

1 .1 在京东云上筹备Web网站

在京东云上抉择CentOS零碎创立一台云主机，调配公网IP，装置Nginx，并在域名解析服务上配置域名和IP的映射。具体的Web利用信息如下：

# 操作系统信息[root@waf-demo ~]# cat /etc/redhat-release CentOS Linux release 7.6.1810 (Core) # 装置dig命令，该命令可显示域名的解析状况bash[root@waf-demo ~]#  yum install bind-utils -y[root@waf-demo ~]# dig -vDiG 9.9.4-RedHat-9.9.4-72.el7# Nginx服务信息[root@waf-demo ~]# service nginx statusRedirecting to /bin/systemctl status nginx.service● nginx.service - The nginx HTTP and reverse proxy server   Loaded: loaded (/usr/lib/systemd/system/nginx.service; enabled; vendor preset: disabled)...

在配置完域名和公网IP映射后，通过dig命令可取得域名解析状况。

[root@waf-demo ~]$ dig waf-demo.jdcoe.top +trace...waf-demo.jdcoe.top.    60  IN  A   114.67.85.98;; Received 63 bytes from 153.99.179.161#53(ns2.jdgslb.com) in 13 ms

通过互联网近程拜访该Web网站。

MacBook:~ user001$ curl http://waf-demo.jdcoe.top -IHTTP/1.1 200 OKServer: nginx/1.12.2Date: Mon, 24 Dec 2018 03:22:21 GMTContent-Type: text/htmlContent-Length: 3700Last-Modified: Tue, 06 Mar 2018 09:26:21 GMTConnection: keep-aliveETag: "5a9e5ebd-e74"Accept-Ranges: bytes

1.2 购买京东云Web利用防火墙实例

进入京东云控制台，点击云平安, Web利用防火墙, 套餐购买, 进入"Web利用防火墙 - 购买“界面，抉择须要企业版套餐（每种套餐规格请参考套餐详情）。具体的购买界面如下图：

在购买实现后，将在实例治理界面中看到所购买的实例信息。

2 配置Web利用防火墙

在应用京东云Web利用防火墙爱护网站前，须要实现下列配置，能力实现用户提交的HTTP/HTTPS拜访申请通过Web利用防火墙检测后，再发送到Web网站。

2.1 配置Web利用防火墙实例的防护网站

在Web利用防火墙界面，点击网站配置，增加网站, 在上面界面中输出相干配置信息。

界面参数具体形容如下：

域名：输出须要爱护的网站的域名；

• 协定：缺省抉择HTTP，如果网站反对HTTPS，则抉择HTTPS，并抉择SSL证书； 服务器地址：网站的IP;
• 服务器端口：网站的拜访端口；
• 是否已应用代理：缺省抉择"否"，但如果网站还应用了IP高防服务，也就是拜访申请来自于IP高防，则应抉择“是";
• 负载平衡算法：当配置多个源站IP，WAF在将过滤后的拜访申请回源时，将依照IP Hash或轮询的形式去做负载平衡。

新创建的网站配置的防护设置是处于敞开状态，须要点击防护配置链接进入配置界面。

在网站防护配置界面中，设置Web利用攻打防护状态为On模式为防护，防护规定策略等级为严格。设置CC平安防护状态为On，模式为失常。

2.2 本地验证配置

在网站配置列表界面中，能取得为被防护网站生成的CNAME。针对域名“waf-demo.jdcoe.top"，生成的WAF CNAME是
waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com.

通过执行ping命令，能取得Web利用防火墙的IP地址为101.124.23.163。

MacBook:etc user001$ ping waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.comPING waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com (101.124.23.163): 56 data bytes64 bytes from 101.124.23.163: icmp_seq=0 ttl=49 time=57.525 ms^C--- waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com ping statistics ---1 packets transmitted, 1 packets received, 0.0% packet lossround-trip min/avg/max/stddev = 57.525/57.525/57.525/0.000 ms

利用平安网站不容许通过生成的CNAME或者IP地址进行拜访，如果间接拜访，将报“Bad Request“谬误。

MacBook:etc user001$ curl waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com<h1> Bad Request </h1>MacBook:etc user001$ MacBook:etc user001$ curl 101.124.23.163<h1> Bad Request </h1>MacBook:etc user001$ 

批改本机IP地址101.124.23.163和域名waf-demo.jdcoe.top的映射，在Linux下，域名配置文件为/etc/hosts。

1101.124.23.163 waf-demo.jdcoe.top

而后在本地执行如下命令“curl waf-demo.jdcoe.top -I”，将在显示Server是jfe，表明曾经通过Web利用防火墙。

MacBook:~ user001$ curl waf-demo.jdcoe.top -IHTTP/1.1 200 OKServer: jfeDate: Mon, 24 Dec 2018 07:12:03 GMTContent-Type: text/htmlContent-Length: 3700Connection: keep-aliveLast-Modified: Tue, 06 Mar 2018 09:26:21 GMTETag: "5a9e5ebd-e74"Accept-Ranges: bytes

此时，看Web的拜访日志，将看到如下信息，表明申请曾经通过Web利用防火墙，而后转发到Web源站。

1101.124.23.116 - - [24/Dec/2018:15:12:04 +0800] "HEAD / HTTP/1.0" 200 0 "-" "curl/7.54.0" "117.136.0.210"

2.3 在云平台放行WAF回源IP

在对源站配置了WAF服务后，源站原则上只能接管来自WAF的转发申请。网站云主机最后的平安组配置如下，这样任何客户端都能够间接拜访Web网站。

通过curl命令能间接拜访Web网站。

MacBook:~ user001$ curl 114.67.85.98 -IHTTP/1.1 200 OKServer: nginx/1.12.2Date: Mon, 24 Dec 2018 07:20:08 GMTContent-Type: text/htmlContent-Length: 3700Last-Modified: Tue, 06 Mar 2018 09:26:21 GMTConnection: keep-aliveETag: "5a9e5ebd-e74"Accept-Ranges: bytes

京东云WAF服务所采纳的IP地址为如下：

101.124.31.248/30101.124.23.116/3014.116.246.0/29103.40.15.0/29 

因而须要在平安组中删除容许所有源IP都可拜访Web网站的规定，并减少容许上述地址段能够拜访Web网站的规定。批改后的平安组配置信息如下图：

这样Web网站将只接管来自WAF的申请，而不能间接拜访。

# 不能间接拜访源站MacBook:~ user001$ curl 114.67.85.98 -I ^C # 能够通过WAF服务拜访源站MacBook:~ user001$ curl waf-demo.jdcoe.top -IHTTP/1.1 200 OKServer: jfeDate: Mon, 24 Dec 2018 07:52:19 GMTContent-Type: text/htmlContent-Length: 3700Connection: keep-aliveLast-Modified: Tue, 06 Mar 2018 09:26:21 GMTETag: "5a9e5ebd-e74"Accept-Ranges: bytes

2.4 批改域名解析配置

最初，须要在域名解析上批改原域名的解析规定，上面是京东云的云解析为例，配置域名waf-demo.jdcoe.top的CNAME为
waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com。

最初删除本机域名和IP地址的动态映射，而后执行dig命令，将看到为域名waf-demo.jdcoe.top配置的CNAME。

[root@waf-demo ~]# dig waf-demo.jdcoe.top +trace...waf-demo.jdcoe.top. 60 IN CNAME waf-demo.jdcoe.top-15f08249c274.jdcloudwaf.com.;; Received 107 bytes from 59.37.144.32#53(ns1.jdgslb.com) in 28 ms

3 测试Web防护成果

3.1 发动失常拜访

在一台机器上失常拜访页面，能取得失常响应，同时在Web网站上能看到拜访日志。

[root@jdcoe-bastion ~]# curl waf-demo.jdcoe.top/index.html -IHTTP/1.1 200 OKServer: jfeDate: Mon, 24 Dec 2018 08:35:24 GMTContent-Type: text/htmlContent-Length: 3700Connection: keep-aliveLast-Modified: Tue, 06 Mar 2018 09:26:21 GMTETag: "5a9e5ebd-e74"Accept-Ranges: bytes

Nginx网站拜访日志

101.124.31.248 - - [24/Dec/2018:16:35:24 +0800] "HEAD /index.html HTTP/1.0" 200 0 "-" "curl/7.29.0" "114.67.95.131"

3.2 发动异样攻打

上面模仿一个"文件读取/蕴含攻打"，也就是说在HTTP申请中蕴含读取特定的零碎问题。在无WAF防护的状况下，Web网站将返回如下信息：

[root@waf-demo ~]# curl localhost/index.html/etc/passwd -IHTTP/1.1 404 Not FoundServer: nginx/1.12.2Date: Mon, 24 Dec 2018 08:37:15 GMTContent-Type: text/htmlContent-Length: 3650Connection: keep-aliveETag: "5a9e5ebd-e42"

然而如果通过WAF防护，WAF将检测出申请中蕴含了对敏感文件拜访，因而阻止该拜访申请。

[root@jdcoe-bastion ~]# curl waf-demo.jdcoe.top/index.html/etc/passwd -IHTTP/1.1 403 ForbiddenServer: jfeDate: Mon, 24 Dec 2018 08:37:22 GMTContent-Type: text/htmlContent-Length: 162Connection: keep-alive

3.3 平安剖析报表

京东云WAF将依据配置阻断非法的HTTP申请，并通过平安报表取得攻打的起源和攻打类型的相干信息。下图是WAF实例下的waf-demo.jdcoe.top网站的防护报告。

4 环境清理

本指南会用到云主机、公网带宽和Web利用防火墙等免费资源。如果购买时采纳按配置计费，倡议删除资源。

总结:

本指南介绍了如何利用Web利用防火墙实现一个网站的平安防护。通过Web利用防火墙对HTTP/HTTPS申请的检测和过滤，缩小因利用安全漏洞所造成的信息透露危险。