Palo Alto Networks WAF簡介

Palo Alto帕羅奧圖市位於加利福尼亞州舊金山灣區，是一個Charter City，相似我國的自治區。該市擁有居民7萬多人(你沒看錯)，這裏也是全美生活成(fang)本(jia)最高的城市之一。

著名的斯坦福大學（Stanford University）坐落於此，居民平均受教育程度全美最高。爲硅谷培養了衆多高科技產品領導者和創業型人才，是美國培養最多億萬富豪的大學。市內共有101所學校，其中84所爲私立學校、15所公立學校。

這裏著名的高新科技園硅谷，聚集了衆多大名鼎鼎的企業，例如惠普、特斯拉、Skype、Space Systems、福特研發中心、谷歌、臉書、羅技等。

 

全球網絡安全領導者 Palo Alto Networks 網絡經過科技的力量，保護並改變着人們工做以及企業的運營方式，塑造以云爲導向的安全將來。已在 150多個國家和地區，70000 家企業客戶使用爲全球數十億用戶提供網絡安全保障。

Palo Alto Networks下一代防火牆使用三種獨特的識別技術（應用程序ID、用戶ID和content-ID）實現對應用程序、用戶和內容的基於策略的可見性和控制。瞭解哪一個應用程序正在穿越網絡以及誰在使用它，將用於建立防火牆安全策略，包括訪問控制、SSL解密、威脅預防和URL過濾。每一個公司都須要防火牆。

相比之下，Web應用防火牆（WAF）被設計用來查看Web應用程序，監視它們是否存在可能因爲編碼錯誤而出現的安全問題。這兩種解決方案之間惟一的類似之處在於它們在名稱中使用了術語防火牆。只有那些認爲本身的web應用程序存在編碼問題的公司才須要WAF。

 

Palo Alto Networks下一代防火牆的關鍵屬性：

•設計爲主防火牆，識別和控制穿越網絡的應用程序用戶和內容。

•應用程序ID：識別和控制900多個各類類型的應用程序，而不考慮端口、協議、SSL加密或規避策略。

•用戶ID：利用Active Directory中的用戶數據（而不是IP地址）建立、記錄和報告策略。

•內容ID：阻止各類惡意軟件，控制網絡活動並檢測穿越網絡的數據模式（SSN、CC#）。

•記錄和報告：記錄全部應用程序、用戶和威脅流量，以便進行分析和取證。

•性能：旨在充當各類規模企業的主要防火牆，這決定了它在負載下提供高性能吞吐量。Palo Alto Networks採用定製硬件、特定功能處理和創新軟件設計相結合的方式，提供高性能、低延遲吞吐量。

更多有關Palo Alto network，firewall/0 trust/下一代防火牆/規則/DNS等介紹以下：

https://www.paloaltonetworks.com/network-security/next-generation-firewall

 

Web應用程序防火牆的關鍵屬性：

•旨在彌補不安全的編碼實踐——只有那些使用web應用程序並擔憂其代碼不安全的公司才須要購買WAF。

•忽略應用程序自己可能存在的大量安全漏洞。

•針對每種環境進行高度定製–查看web應用程序應該如何操做以及如何處理任何奇怪的行爲。

•只查看web應用程序的特定L7字段–它們不查看OSI堆棧中的任何其餘層。

•當前的WAF產品僅針對應用程序流量的一小部分，所以沒法知足主防火牆的性能要求。

https://blog.paloaltonetworks.com/2009/02/a-waf-does-not-make-you-pci-compliant/

 

Cloud Native Application Firewall（CNAF）是爲主機和容器設計的Web應用程序防火牆（WAF）。WAF經過檢查和過濾往返於應用程序的第7層流量來保護Web應用程序的安全。

CNAF經過綁定到容器化的Web應用程序來加強針對容器環境的傳統WAF，而無需考慮其運行的雲，協調器，節點或IP地址，而無需配置任何複雜的路由。對於非容器化的Web應用程序，CNAF只需綁定應用程序運行所在的主機。

 

Defender充當透明的HTTP代理，在將請求中繼到您的應用以前，先根據策略評估客戶端請求。

部署防火牆後，Defender將添加iptables規則以將綁定到您的Web應用程序的流量從新路由到自身。若是使用TLS保護鏈接，則Defender會解密流量，檢查內容，而後從新加密。合法請求將傳遞到目標容器或主機。觸發警報的請求也傳遞到目標。丟棄使用prevent操做觸發規則的請求，而且CNAF響應並帶有HTML標語，指示該請求已被阻止。

 

 

CNAF提供了豐富的功能來保護您的Web應用程序免受攻擊。

SQL注入

SQL注入（SQLi）攻擊將SQL查詢插入Web應用程序的輸入字段。成功的攻擊能夠從數據庫中讀取敏感數據，修改數據庫中的數據或運行admin命令。

CNAF將輸入流（請求）轉換爲令牌，而後搜索已知問題模式的匹配指紋。

 

跨站腳本

跨站點腳本（XSS）是一種注入攻擊。攻擊者試圖欺騙瀏覽器以切換到Javascript上下文，並執行任意代碼。

CNAF將輸入流（請求）轉換爲令牌，而後搜索已知問題模式的匹配指紋。

 

攻擊工具保護

檢測爬蟲和筆測試工具。

經過公開不該該公開使用的資源，或者經過公開軟件版本，環境數據等來揭示被黑客入侵的機會，爬網可能致使數據泄露。

 

錯誤格式的請求保護

驗證請求的結構，自動刪除格式錯誤的請求。

格式錯誤的請求包括：

• GET requests with a body.
• POST requests without a Content-Length header

CSRF跨站點僞造

跨站點請求僞造（CSRF）會誘騙受害者的瀏覽器在當前已對受害者進行身份驗證的Web應用程序上執行不須要的操做。CNAF經過攔截響應並將「 SameSite」 cookie屬性設置爲「 strict」來緩解CSRF。

SameSite屬性可防止瀏覽器將cookie與跨站點請求一塊兒發送。它僅容許cookie與相同站點的請求一塊兒發送。

有幾種緩解CSRF的技術，包括同步器（anti-CSRF）令牌，開發人員必須將這些令牌實現爲Web應用程序的一部分。同步器令牌模式生成與用戶會話關聯的隨機質詢令牌。這些標記將做爲隱藏字段插入表單，與表單一塊兒提交。若是服務器沒法驗證令牌，則服務器將拒絕請求的操做。

SameSite cookie屬性可做爲對CSRF的補充防護，並有助於緩解諸如同步器令牌模式的錯誤實現之類的狀況。

• 若是未設置SameSite屬性，則始終發送cookie。
• 將SameSite屬性設置爲strict時，永遠不會在跨站點請求中發送cookie。
• 將SameSite屬性設置爲寬鬆時，僅使用安全的HTTP方法（例如GET）在同一站點請求或頂級導航上發送cookie。它不會與跨域POST請求一塊兒發送，也不會在跨域框架中加載網站時發送。當您經過單擊<ahref=…>連接更改瀏覽器地址欄中的URL時，將發送該消息。

當前， 如下瀏覽器支持SameSite屬性：

• Chrome 61或更高版本。
• Firefox 58或更高版本。

有關SameSite屬性的更多信息，請參見https://tools.ietf.org/html/draft-west-first-party-cookies-07

 

點擊劫持

容許將其內容嵌入框架中的Web應用有遭受點擊劫持攻擊的風險。攻擊者能夠利用容許的設置將目標網站無形地加載到他們本身的網站中，並誘騙用戶單擊他們本不想單擊的連接。

CNAF修改全部響應頭，設置  X-Frame-Options爲 SAMEORIGIN。

SAMEORIGIN 指令僅容許將頁面顯示在與頁面自己具備相同來源的框架中。

 

Shellshock破殼漏洞

Shellshock是特權升級漏洞，容許遠程執行代碼。在未修補的bash版本中，Shellshock漏洞使攻擊者可使用包含代碼的特製值建立環境變量。外殼程序一被調用，攻擊者的代碼即被執行。

CNAF會刪除旨在利用Shellshock漏洞的請求。

有關Shellshock的更多信息，請參見  https://www.freebuf.com/news/48331.html

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271

 

HTTP頭

CNAF容許您阻止在標頭中包含特定字符串的請求。指定標題和要匹配的值。該值能夠是完整或部分字符串。支持標準模式匹配。

標頭字段由一個名稱，一個冒號，而後是字段值組成。解密字段值時，CNAF將全部逗號視爲定界符。例如，

Accept-Encoding請求標頭宣傳客戶端支持的壓縮算法。

Accept-Encoding: gzip, deflate, br

 

當多值字符串中的值包含逗號時，CNAF規則不支持精確匹配，由於CNAF會將全部逗號視爲定界符。要匹配這種類型的值，請使用通配符。例如，考慮如下頭：

User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.108 Safari/537.36
要匹配它，請在CNAF規則中指定如下通配符表達式：
Mozilla / 5.0 *

文件上傳

攻擊者可能會嘗試將惡意文件（惡意軟件）上傳到您的系統。CNAF經過將上傳限制爲僅匹配任何容許的內容類型的文件，來保護您免受惡意軟件的攻擊。其餘全部文件均被刪除。

文件經過擴展名和幻數(mangic number)進行驗證 。爲如下文件類型提供內置支持：

• 音頻：AAC，MP3，WAV。
• 壓縮檔案：7zip，gzip，rar，zip。
• 文件：odf，pdf，Microsoft Office（舊版，Ooxml）。
• 圖片：bmp，gif，ico，jpeg，png。
• 視頻：avi，mp4。

CNAF規則可以讓您顯式容許其餘文件擴展名。這些容許列表提供了一種機制，能夠在沒有內置支持的狀況下擴展對文件類型的支持，並做爲備用，以防Prisma Cloud的內置檢查器沒法正確識別給定類型的文件。具備容許的擴展名的任何文件都會自動經過防火牆，不管其幻數如何。

 

情報收集

錯誤消息使攻擊者能夠深刻了解應用程序的內部工做原理，所以防止信息泄漏很是重要。

如下控件限制了敏感信息的公開。

 

暴力保護

CNAF限制了每一個會話每分鐘的POST請求數。這樣能夠防止攻擊者使用暴力手段猜想密碼，並在應用中充斥沒必要要的流量。

 

跟蹤響應錯誤代碼

快速繼承中的許多失敗均可能代表正在進行自動攻擊。CNAF應用基於速率的規則來緩解這些類型的攻擊。若是在很短的間隔內超過了二十個錯誤的閾值，則源IP將被阻止24小時。若是攻擊者嘗試訪問不存在的URL（這些URL是各類Web應用程序框架的已知管理頁面），則源IP將當即被阻止24小時。

 

刪除服務器指紋

揭示其軟件選擇的Web應用程序還揭示了其對已知安全漏洞的敏感性。消除沒必要要的標頭會使攻擊者更難肯定支撐您應用程序的框架。

應清除對外暴露應用程序的web服務器和其餘服務器詳細信息的響應頭。CNAF會自動刪除沒必要要的標頭，例如

X-Powered-By，Server，X-AspNet-Version，X-AspNetMvc-Version。

 

目錄遍歷保護

攻擊者也稱爲點-點-斜槓攻擊，它利用Web應用程序輸入驗證方法中的弱點來讀取或寫入一般沒法讀取的文件，或訪問Web文檔根目錄以外的數據。CNAF提供了一個過濾器來防止路徑穿越攻擊。

 

檢測信息泄漏

CNAF會檢測關鍵文件的內容，例如 

/ etc /shadow ， / etc / passwd， 私鑰包含在響應中。

它還能夠檢測響應什麼時候包含目錄列表，php_info（）的輸出等。

 

高級設置

 

高級

 新CNAF規則的標籤。

ip黑名單

 —拒絕的入站CIDR地址列表（例如10.10.0.0/24）

ip白名單

 —容許的入站CIDR地址列表（例如10.10.0.0/24）

HTTP端口

 —服務器監聽的HTTP端口。

HTTPS端口

 —服務器偵聽的HTTPS端口。

明確容許的路徑

 —容許的URL列表。對於此列表中的URL，將繞過全部CNAF檢查。

 

Palo Alto CNNF Cloud Native Network Firewall網絡防火牆說明地址：

https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/firewalls/cnnf.html

CNNF for host主機：

https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/firewalls/cnnf_hosts.html