问题标签 [web-application-firewall]

我是 AWS WAF 的新手，并且无法为托管在某个专用服务器上的应用程序设置它。我没有找到任何信息如何在不迁移到 aws 服务器的情况下设置它，但我发现 WAF 与 CloudFront 集成。但无论如何，我只找到很少的信息来解释如何将此 CDN 与我的 Web 应用程序集成。因此，主要问题是：是否可以将 AWS WAF 与托管在某个专用服务器上的应用程序一起使用？如果可能的话 - 您能否提供一些设置指南和/或文档？

在 X-WAF 部署中，需要新建一个 nginx 配置文件。但是在测试nginx配置的时候，发现报错，无法启动nginx。

我参考了http://blog.51cto.com/14071176/2318054，按照文章中的配置一步步做了，但是遇到了问题。

一般情况下，执行/usr/local/openresty/nginx/sbin/nginx -t 会成功两次，而我的是成功和失败。

我有一个集成项目，我的 RestAPI 调用其他项目的 WCF 服务来执行一些 CRUD 操作。

我的项目建立在 .net core 2.2.102 上。我在 BETA 环境中部署了我的项目（在我的情况下为 PROD），并指向 WCF 服务的 PROD URL。然后我在尝试从我的应用程序运行请求时收到此错误：无法建立 SSL 连接，请参阅内部异常。

我试图在我的本地复制它。但是当我指向 WCF 服务的 BETA URL 时，它在我的本地机器上运行良好。我检查了防火墙设置。我可以看到这些都很好。

这可能是什么根本原因？我无权访问 BETA，因此无法使用试错法进行部署。我正在附加内部异常堆栈跟踪。

我们正在使用 Palo Alto 的 VM 防火墙和 ELB 的三明治拓扑，并且无法获得正确的 X-Forwarded-Proto 以使其一直返回到 Web 服务器。HTTPS 终止发生在外部负载均衡器上，然后作为 HTTP 通过堆栈的其余部分运行。使用单个负载均衡器，无论是 HTTP 还是 HTTPS，检索正确的 X-Forwarded-Proto 标头都没有问题。但是，在三明治拓扑中，无论如何我们都会将 HTTP 作为 X-Forwarde-Proto。

我们需要标头的主要问题是将所有请求重定向到 HTTPS，这可能可以在 PAN 防火墙上完成，但这也被证明是难以捉摸的。

我在一个 Wordpress 网站上询问一个问题，该网站在 WAF（Web 应用程序防火墙）服务后面的 Ubuntu 18.04 上提供服务。

服务器工作了 1 年。4天前，我尝试上传文件，但出现Http错误。

upload_max_filesize配置上的其他值约为2G。

首先，我检查了 VM 配置，发现 VM 内存减少到 4G。增加内存量后，我检查了Vestacp的PHP、Nginx和Apache配置，它们没有任何变化。然后我尝试上传，但是这次在本地网络和文件上传成功！

以下是问题：

• 在检查配置时，我错过了什么吗？
• WAF是问题的原因吗？
• 是否有可能减少和增加 VM 内存量，从而导致问题？

最后，我该如何解决这个问题？

已编辑

有人可以解释瞻博网络的策略以及它为什么这样做吗？

我正在研究和研究不同的SQL注入方法和对策。

检查 HackerOne Hacktivities 告诉我，Web 应用程序仅使用 WAF（例如 Cloudfront、cloudflare、Akamai 等）是不够的，因为黑客使用和构建 WAF 绕过有效负载来克服这些技术进行攻击成功的 。

在 Internet 上搜索Database Firewall关键字，但大多数链接都与 Oracle Database firewall 相关。

因为我目前正在研究 SQL 注入和对策。我很想知道如何研究和开发一个好的数据库防火墙，它可以像代理一样使用主动监控引擎分析 SQL 查询来监控和阻止 SQL 恶意负载。

除了编程语言之外，您还为我提供了哪些方法或技术来编写此类应用程序？您是否让我开始研究和编写低级应用程序防火墙（如 Windows 驱动程序工具包中可用的示例）或应用程序层防火墙？

最后，我们可以使用 Web 应用程序防火墙术语作为数据库防火墙的术语吗？它们之间有什么区别？

提前致谢。

我想创建 WAF 并将其附加到我的负载均衡器。

我需要附加哪些资源和参数来创建 WAF，有什么例子吗，你可以建议我吗？

我尝试过这种方式，但每个规则集都使用 cloudformation 模板失败。

这是我的一个示例规则：

有什么建议和参考让我知道吗？

我在 S3 上托管了一个静态网站，并为其配置了 cloudfront。我的主要目标是以只能通过特定 IP 地址访问的方式配置我的站点。我已经尝试过 WAF，并且该网站正在我的浏览器中缓存，即使启用了 WAF，我也能够从其他 IP 地址访问它。我尝试了以下政策，但没有看到任何变化。我没有为此摆脱云端的问题，但尝试禁用云端并尝试从 s3 端点访问我得到的只是 403 禁止任何 IP 地址。我不知道我在这里缺少什么。

假设您有 X 是一个接受 http 请求的网络服务器。我有一个问题，X 有 WAF 阻止通过 Node.js 访问代理的 HTTP 请求，因为它被 WAF 检测到，但是在 Chrome 中使用这个 HTTP 代理时没有问题。

WAF不要求你完成一个JS挑战，我已经尽可能匹配了。- 标头顺序（通过 Charles Proxy 测试） - 不同的 HTTP 客户端（我试过 Axios 和https-proxy-agent请求tunnel: true）

这里唯一可能成为问题的是 TLS 密码（发送的密码以及发送的顺序）。

我几乎可以肯定它与 Cipher Suite 无关，因为我能够通过 Node.js 在没有代理的情况下传递他们的 WAF。

我还可能缺少什么？

我一直在搞砸 Azure，试图让一个 Web 应用程序启动并运行。我的计划是创建一个 WAF 并将其背后的 Web 应用程序放置在一个单独的子网中，然后使用服务端点技术将 Web 应用程序指向数据库。

我几乎立即停止了我的工作，因为我发现如果我想在 Web 应用程序前面使用 WAF，我必须在 Web 应用程序中配置网络，但是当我选择 vnet 时，它说没有配置网关对于选定的 VNET。

我的问题是我是否必须使用点到站点 VPN 才能使此设置正常工作？我以为它会像

INTERNET ---> VNET ----> 子网 ----> WAF -----> 子网 -----> Web 应用程序 ----> 服务端点 ------> DB

但情况似乎并非如此。我并不热衷于必须在我们网络中可能想要访问此网站的每台机器上安装客户端证书（它目前是内部的）。我想我正在寻找两全其美。可从互联网访问，但在其前面放置 WAF 之类的东西会更加舒适，以弥补所述应用程序中可能存在的任何安全缺陷。

谢谢