Palo Alto Networks WAF简介

Palo Alto帕罗奥图市位于加利福尼亚州旧金山湾区，是一个Charter City，类似我国的自治区。该市拥有居民7万多人，也是全美生活成本最高的城市之一。

著名的斯坦福大学坐落于此，居民平均受教育程度全美最高。为硅谷培养了众多高科技产品领导者和创业型人才，是美国培养最多亿万富豪的大学。市内共有101所学校，其中84所为私立学校、15所公立学校。

这里著名的高新科技园硅谷，汇集了众多大名鼎鼎的企业，例如惠普、特斯拉、Skype、Space Systems、福特研发中心、谷歌、脸书、罗技等。

全球网络安全领导者 Palo Alto Networks(NYSE: PANW) 网络通过科技的力量，保护并改变着人们工作以及企业的运营方式，塑造以云为导向的安全未来。已在 150多个国家和地区，70000 家企业客户使用为全球数十亿用户提供网络安全保障。

Palo Alto Networks下一代防火墙使用三种独特的识别技术（应用程序ID、用户ID和content-ID）实现对应用程序、用户和内容的基于策略的可见性和控制。了解哪个应用程序正在穿越网络以及谁在使用它，将用于创建防火墙安全策略，包括访问控制、SSL解密、威胁预防和URL过滤。每个公司都需要防火墙。

相比之下，Web应用防火墙（WAF）被设计用来查看Web应用程序，监视它们是否存在可能由于编码错误而出现的安全问题。这两种解决方案之间唯一的相似之处在于它们在名称中使用了术语防火墙。只有那些认为自己的web应用程序存在编码问题的公司才需要WAF。

Palo Alto Networks下一代防火墙的关键属性：

?设计为主防火墙，识别和控制穿越网络的应用程序用户和内容。

?应用程序ID：识别和控制900多个各种类型的应用程序，而不考虑端口、协议、SSL加密或规避策略。

?用户ID：利用Active Directory中的用户数据（而不是IP地址）创建、记录和报告策略。

?内容ID：阻止各种恶意软件，控制网络活动并检测穿越网络的数据模式（SSN、CC#）。

?记录和报告：记录所有应用程序、用户和威胁流量，以便进行分析和取证。

?性能：旨在充当各种规模企业的主要防火墙，这决定了它在负载下提供高性能吞吐量。Palo Alto Networks采用定制硬件、特定功能处理和创新软件设计相结合的方式，提供高性能、低延迟吞吐量。

更多有关Palo Alto network，firewall/0 trust/下一代防火墙/规则/DNS等介绍如下：

Next-Generation Firewalls – Palo Alto Networks

Web应用程序防火墙的关键属性：

?旨在弥补不安全的编码实践——只有那些使用web应用程序并担心其代码不安全的公司才需要购买WAF。

?忽略应用程序本身可能存在的大量安全漏洞。

?针对每种环境进行高度定制–查看web应用程序应该如何操作以及如何处理任何奇怪的行为。

?只查看web应用程序的特定L7字段–它们不查看OSI堆栈中的任何其他层。

?当前的WAF产品仅针对应用程序流量的一小部分，因此无法满足主防火墙的性能要求。

A WAF Does Not Make You PCI Compliant

Cloud Native Application Firewall（CNAF）是为主机和容器设计的Web应用程序防火墙（WAF）。WAF通过检查和过滤往返于应用程序的第7层流量来保护Web应用程序的安全。 CNAF通过绑定到容器化的Web应用程序来增强针对容器环境的传统WAF，而无需考虑其运行的云，协调器，节点或IP地址，而无需配置任何复杂的路由。对于非容器化的Web应用程序，CNAF只需绑定应用程序运行所在的主机。 Defender充当透明的HTTP代理，在将请求中继到您的应用之前，先根据策略评估客户端请求。

部署防火墙后，Defender将添加iptables规则以将绑定到您的Web应用程序的流量重新路由到自身。如果使用TLS保护连接，则Defender会解密流量，检查内容，然后重新加密。合法请求将传递到目标容器或主机。触发警报的请求也传递到目标。丢弃使用prevent操作触发规则的请求，并且CNAF响应并带有HTML标语，指示该请求已被阻止。 CNAF提供了丰富的功能来保护您的Web应用程序免受攻击。 SQL注入 SQL注入（SQLi）攻击将SQL查询插入Web应用程序的输入字段。成功的攻击可以从数据库中读取敏感数据，修改数据库中的数据或运行admin命令。 CNAF将输入流（请求）转换为令牌，然后搜索已知问题模式的匹配指纹。

跨站脚本 跨站点脚本（XSS）是一种注入攻击。攻击者试图欺骗浏览器以切换到Javascript上下文，并执行任意代码。 CNAF将输入流（请求）转换为令牌，然后搜索已知问题模式的匹配指纹。

攻击工具保护 检测爬虫和笔测试工具。 通过公开不应该公开使用的资源，或者通过公开软件版本，环境数据等来揭示被黑客入侵的机会，爬网可能导致数据泄露。

错误格式的请求保护

验证请求的结构，自动删除格式错误的请求。 格式错误的请求包括：

• GET requests with a body.
• POST requests without a Content-Length header

CSRF跨站点伪造 跨站点请求伪造（CSRF）会诱骗受害者的浏览器在当前已对受害者进行身份验证的Web应用程序上执行不需要的操作。CNAF通过拦截响应并将“ SameSite” cookie属性设置为“ strict”来缓解CSRF。 SameSite属性可防止浏览器将cookie与跨站点请求一起发送。它仅允许cookie与相同站点的请求一起发送。 有几种缓解CSRF的技术，包括同步器（anti-CSRF）令牌，开发人员必须将这些令牌实现为Web应用程序的一部分。同步器令牌模式生成与用户会话关联的随机质询令牌。这些标记将作为隐藏字段插入表单，与表单一起提交。如果服务器无法验证令牌，则服务器将拒绝请求的操作。 SameSite cookie属性可作为对CSRF的补充防御，并有助于缓解诸如同步器令牌模式的错误实现之类的情况。

• 如果未设置SameSite属性，则始终发送cookie。
• 将SameSite属性设置为strict时，永远不会在跨站点请求中发送cookie。
• 将SameSite属性设置为宽松时，仅使用安全的HTTP方法（例如GET）在同一站点请求或顶级导航上发送cookie。它不会与跨域POST请求一起发送，也不会在跨域框架中加载网站时发送。当您通过单击链接更改浏览器地址栏中的URL时，将发送该消息。

当前， 以下浏览器支持SameSite属性：

• Chrome 61或更高版本。
• Firefox 58或更高版本。

有关SameSite属性的更多信息，请参见draft-west-first-party-cookies-07

点击劫持 允许将其内容嵌入框架中的Web应用有遭受点击劫持攻击的风险。攻击者可以利用允许的设置将目标网站无形地加载到他们自己的网站中，并诱骗用户单击他们本不想单击的链接。 CNAF修改所有响应头，设置  X-Frame-Options为 SAMEORIGIN。 SAMEORIGIN指令仅允许将页面显示在与页面本身具有相同来源的框架中。

Shellshock破壳漏洞

Shellshock是特权升级漏洞，允许远程执行代码。在未修补的bash版本中，Shellshock漏洞使攻击者可以使用包含代码的特制值创建环境变量。外壳程序一被调用，攻击者的代码即被执行。 CNAF会删除旨在利用Shellshock漏洞的请求。 有关Shellshock的更多信息，请参见 访问的文章审核中… – FreeBuf网络安全行业门户 CVE -CVE-2014-6271

HTTP头 CNAF允许您阻止在标头中包含特定字符串的请求。指定标题和要匹配的值。该值可以是完整或部分字符串。支持标准模式匹配。 标头字段由一个名称，一个冒号，然后是字段值组成。解密字段值时，CNAF将所有逗号视为定界符。例如，

Accept-Encoding请求标头宣传客户端支持的压缩算法。

Accept-Encoding: gzip, deflate, br

当多值字符串中的值包含逗号时，CNAF规则不支持精确匹配，因为CNAF会将所有逗号视为定界符。要匹配这种类型的值，请使用通配符。例如，考虑以下头： 文件上传 攻击者可能会尝试将恶意文件（恶意软件）上传到您的系统。CNAF通过将上传限制为仅匹配任何允许的内容类型的文件，来保护您免受恶意软件的攻击。其他所有文件均被删除。 文件通过扩展名和幻数(mangic number)进行验证 。为以下文件类型提供内置支持：

• 音频：AAC，MP3，WAV。
• 压缩档案：7zip，gzip，rar，zip。
• 文件：odf，pdf，Microsoft Office（旧版，Ooxml）。
• 图片：bmp，gif，ico，jpeg，png。
• 视频：avi，mp4。

CNAF规则可让您显式允许其他文件扩展名。这些允许列表提供了一种机制，可以在没有内置支持的情况下扩展对文件类型的支持，并作为备用，以防Prisma Cloud的内置检查器无法正确识别给定类型的文件。具有允许的扩展名的任何文件都会自动通过防火墙，无论其幻数如何。

情报收集 错误消息使攻击者可以深入了解应用程序的内部工作原理，因此防止信息泄漏非常重要。 以下控件限制了敏感信息的公开。

暴力保护 CNAF限制了每个会话每分钟的POST请求数。这样可以防止攻击者使用暴力手段猜测密码，并在应用中充斥不必要的流量。

跟踪响应错误代码 快速继承中的许多失败都可能表明正在进行自动攻击。CNAF应用基于速率的规则来缓解这些类型的攻击。如果在很短的间隔内超过了二十个错误的阈值，则源IP将被阻止24小时。如果攻击者尝试访问不存在的URL（这些URL是各种Web应用程序框架的已知管理页面），则源IP将立即被阻止24小时。

删除服务器指纹 揭示其软件选择的Web应用程序还揭示了其对已知安全漏洞的敏感性。消除不必要的标头会使攻击者更难确定支撑您应用程序的框架。 应清除对外暴露应用程序的web服务器和其他服务器详细信息的响应头。CNAF会自动删除不必要的标头，例如

X-Powered-By，Server，X-AspNet-Version，X-AspNetMvc-Version。

目录遍历保护 攻击者也称为点-点-斜杠攻击，它利用Web应用程序输入验证方法中的弱点来读取或写入通常无法读取的文件，或访问Web文档根目录之外的数据。CNAF提供了一个过滤器来防止路径穿越攻击。

检测信息泄漏 CNAF会检测关键文件的内容，例如  / etc /shadow ， / etc / passwd， 私钥包含在响应中。 它还可以检测响应何时包含目录列表，php_info（）的输出等。

高级设置   高级  新CNAF规则的标签。 ip黑名单 ?—拒绝的入站CIDR地址列表（例如10.10.0.0/24） ip白名单 ?—允许的入站CIDR地址列表（例如10.10.0.0/24） HTTP端口 ?—服务器监听的HTTP端口。 HTTPS端口 ?—服务器侦听的HTTPS端口。 明确允许的路径

?—允许的URL列表。对于此列表中的URL，将绕过所有CNAF检查。

Palo Alto CNNF Cloud Native Network Firewall网络防火墙说明地址：

Cloud Native Network Firewall (CNNF)

CNNF for host主机：

https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/firewalls/cnnf_hosts.html

文章知识点与官方知识档案匹配，可进一步学习相关知识网络技能树首页概览22717 人正在系统学习中

来源：istan1ey