什么是WAF和RASP?
WAF全称是Web application firewall,即 Web 应用防火墙。RASP 全称是 Runtime Application Self-protect,即应用运行时自我保护系统。两款产品都是针对 Web 应用的攻击进行防护的。
作为用户,如何安装使用 WAF 和 RASP?
WAF 的使用
WAF 相当于一个网络设备,需要部署到网络环境中。它有三种部署模式,分别是串联(透明)部署、旁路部署、反向代理部署。
三种部署方式都有各自的优缺点,串联部署比较简单,直接放在网络就行,但是这种部署模式,有单点故障的风险;旁路部署需要在路由或交换设备上进行流量牵引,然后在 WAF 上进行流量回注,部署比较复杂。反向代理部署是相当于一个代理服务器,需要修改 DNS 服务器,把 DNS 的解析地址改为 WAF 的物理接口地址,部署相较于旁路简单,但是这种部署方式也存在单点故障问题。
解决了部署问题之后,下面开始配置。首先配置站点,即要防护的 IP+ 端口,配置站点的时候需要选择操作系统、服务器类型、数据库类型等。配置站点之后,在不配置任何策略的情况下,开启防护模式,进行访问测试。当可以访问之后,再进行策略配置。配置策略的时候,首先一键接受,在线跑一周之后,查看分析日志,之后从大量的策略里面,选出合适的策略进行阻断防护。这时 WAF 才算正式上线。
RASP 的使用
RASP 相当于一款软件,直接部署到应用服务器上。在服务器启动的过程中加入 RASP 探针,拿 Tomcat举例,使用 UE 打开\bin\catalina.bat此文件,在文件中加入 set CATALINA_OPTS="-javaagent:<install_dir>\lib\RaspAgent.jar %CATALINA_OPTS%",如图红框部分为探针路径:
然后启动服务器即可。RASP 产品有两种模式,一种是监听模式,一种是防护模式。上线之后开启监听模式,分析日志显示的堆栈信息,最后决定使用哪些规则进行防护。这样 RASP 就算正式上线了。
总结下 WAF 与 RASP 的使用区别
从安装来看,WAF 的部署多样化,但是每种部署方式都有一定的风险。RASP直接安装在应用服务器上,且运行过程中仅占用2%-5%的 CPU 和内存,比 WAF 更加方便实用。
从上线来看,WAF 需要进行服务器、数据路操作系统的选择,新建站点分析,日志配置各种策略。RASP 直接安装到服务器上,不用选择系统、服务器等,也不需要新建站点,只需上线分析日志选择策略即可,比 WAF 更加简单快捷。