Fastly Next-Gen WAF 无需依赖传统 WAF 的正则表达式模式匹配即可检测潜在攻击。相反,我们的检测引擎 SmartParse 会分析请求参数以确定代码是否真正可执行,并对结果进行标记。这种智能方法的误报率要低得多,并且在检测 OWASP Top 10、API 和其他高级应用程序攻击方面要快得多。
使用 SmartParse 检测注入攻击
注入攻击是最常见的攻击方式之一,用于插入恶意代码或未经许可读取敏感数据。通过 SQL 注入 (SQLi) 或跨站点脚本 (XSS) 进行的注入攻击会将不受信任的数据作为命令或查询的一部分发送到解释器,以试图提取敏感数据。
SmartParse 检测
图 3:使用 SmartParse 对 Web 请求进行标记和分析
继续上面的表单提交示例,我们现在看到 Fastly Next-Gen WAF 对相同的表单提交响应进行标记。它不会将有效负载标记为 SQLi 攻击,而是理解消息的意图,即像select和这样的词where对于此应用程序来说是正常的和预期的。
攻击聚焦:Log4Shell
为了应对像 Log4Shell 这样的现代攻击,我们 首席执行官电子邮件列表 的产品和工程团队开发了一种 SmartParse 方法,可以对复杂的Log4Shell 攻击负载进行反混淆并将其提炼为最基本的形式。
SmartParse 剖析
图 4:SmartParse 如何转换 Log4shell 攻击载荷
在此示例中,我们将有效载荷信息处理为一行代码,让 SmartParse 能够轻松检测 Log4Shell 攻击,而无需为每个变体制定规则。这减少了获得大规模全面覆盖所需的开销和复杂性,这对于影响深远的漏洞至关重要。
GIPHY 徽标
“因为我是一名工程师,如果我有问题,他们通常都是技术专家。与能够理解我的技术问题的支持人员一起工作是一种乐趣。每当我使用 Fastly 开具支持单时,我都会在当天收到具有技术专长的人员的回复,帮助我解决问题。”
布莱恩·本斯
GIPHY 高级站点可靠性工程师
大规模阻止应用程序攻击
Fastly Next-Gen WAF 的信号和规则让您能够超越注入攻击,自动大规模阻止 OWASP Top 10 和其他高级第 7 层威胁。使用我们直观的规则构建器结合使用现成的系统信号(如 SQLi、XSS 和 CMD.EXE)和自定义信号,为您独特的环境创建对恶意流量的自定义响应。
规则制定的现代方法
在我们的控制台中,您可以创建特定于您的 Web 应用程序和业务逻辑的自定义阈值、速率限制、自动阻止和警报触发器。您可以将它们应用于单个站点(站点规则)以及全局(公司规则),以便轻松跨多个站点使用。
控制台:规则生成器
图 5:Fastly Next-Gen WAF 规则构建器提供了直观的界面,可快速设置或修改规则。
与传统 WAF 不同,您可以配置规则,根据我们高度准确的系统信号和您自己的自定义信号创建条件响应。我们的现代方法不仅限于阻止,还包括信号标记、速率限制和流量请求阈值,让您能够以更高的准确度更深入地控制您的应用和 API。
此外,我们的开发人员优先方法意味着我们的功能可以通过 API 访问,从而允许 DevOps 团队以编程方式利用 Fastly 的功能,确保与 CI/CD 管道和其他自动化工作流程无缝集成。
使用阈值和速率限制控制应用程序流量
虽然有些公司愿意与我们一起进入立即阻止模式,但其他公司可能对高影响应用程序或 API 更加谨慎。Fastly Next-Gen WAF 为您提供更强大的阻止控制,并允许客户使用基于阈值的方法将阻止决策与初始检测分开,从而大大提高检测准确性。
我们的新一代 WAF 不会采用立即拦截任何与正则表达式匹配的传入请求的传统方法,而是使用 SmartParse 检测结合基于时间的阈值和请求与响应周围的异常数据来做出明智的拦截决策。通过在立即拦截和拦截之间提供额外的步骤,新一代 WAF 可让您更快地退出仅记录模式,同时建立进入立即拦截状态的信心。