如何使用免費的WEB應用防火墻

與其他CDN服務商相比，億速云CDN的主要優勢包括穩定快速、性價比高、簡單易用、高效智能。比較多的用戶會問到穩定快速這個優點，一般來說，億速云的CDN特點是分擔源站壓力，避免網絡擁塞，確保在不同區域、不同場景下加速網站內容的分發，提高資源訪問速度。以下給大家介紹下關于網絡安全的重要問題。 

CDN是將源站內容分發至最接近用戶的節點，提高用戶訪問的響應速度，解決企業源網站的服務器壓力。未來五年CDN行業仍然會高速增長，超過50%的互聯網流量通過CDN進行加速。
但是網絡安全仍然是非常重要的問題， 雖然阿里云Web應用防火墻（WAF）支持各類CDN（如網宿、加速樂、七牛、又拍、阿里云CDN等），但是價格非常昂貴，中小企業很多負擔不起，同時抱有***不會***的僥幸心里。那么有沒有功能和性能都好的免費WAF呢，答案是有的。
hihttps是一款免費的web應用防火墻，既支持傳統WAF的檢測功能如SQL注入、XSS、惡意漏洞掃描、密碼破解、CC、DDOS等），又支持無監督機器學習，自主對抗，重新定義web安全。具體原理可以百度搜索“hihttps談機器學習之生成對抗規則”。今天下面以CentOS 為例，一步一步介紹怎么用hihttps來免費保護CDN環境的企業源站。

一、    安裝
hihttps可以在WEB源站服務器上直接安裝，也可以像硬件WAF那樣獨立部署服務器前面，用反向代理的原理來保護源站。
首先在http://www.hihttps.com/官網下載hihttp.tar.gz安裝包，tar –zxvf hihttps.tar.gz 解壓到任意目錄，核心有3個文件和3個目錄：
1、hihttps是可執行文件，支持centos 64位系統。
2、hihttps.cfg是配置文件，如端口/反向代理的服務器IP等。
3、ml.cfg是機器學習配置文件。
4、rules目錄是對抗規則，包括OWASP的SQL注入、XSS、CC、DDOS、密碼破解、惡意掃描以及機器學習自主對抗規則。
5、train目錄是無監督機器學習樣本采集目錄。  
6、log目錄是***報警日志。

hihttps默認配置前端綁定443端口（HTTPS）和81端口（HTTP），反向連接的80端口：

https:// serverip / <==> http://127.0.0.1/  
http://serverip:81/ <==> http://127.0.0.1/

注釋：serverip是你的服務器的實際IP地址或者域名，本文下面不再闡述。

如果你是在vmware虛擬機里面做測試，或者服務器上還沒有web服務器，請先安裝nginx或者apache如：
yum install nginx或yum install httpd  ，打開瀏覽器 http://serverip/ ,，確認訪問80端口是成功的。

二、    hihttps配置
1、端口配置
為了方便測試，hihttps開啟了81和443兩個web端口，注意443需要綁定PEM格式的證書，默認提供了一個叫server.pem的數字證書，如果有，請換成源站服務器的真實證書。配置如下：

https.cfg:

frontend web
mode http
bind    :81
default_backend s_default

frontend web_ssl
mode http
bind :443 ssl crt server.pem     #PEM證書建議用絕對路徑如/home/xxx/server.pem
default_backend s_default
errorloc302 400 http://www.hihttps.com/           #***重定向網頁，僅DROP阻斷模式有效

#真實的后端WEB服務器端口  
backend s_default
mode            http
server      server_default 127.0.0.1:80

2、OWASP規則設置

Hihttps兼容ModSecurity大部分規則，最厲害的是著名安全社區OWASP，開發和維護著一套免費的應用程序保護規則，這就是所謂OWASP的ModSecurity的核心規則集(即CRS)，幾乎覆蓋了如SQL注入、XSS跨站***腳本、惡意掃描、密碼破解、DOS等幾十種常見WEB***方法。
hihttps默認配置了這幾條，基本滿足常見***防護：
REQUEST-913-SCANNER-DETECTION.conf
REQUEST-941-APPLICATION-ATTACK-XSS conf
REQUEST-942-APPLICATION-ATTACK-SQLI conf
REQUEST-20-APPLICATION-CC-DDOS conf
REQUEST-20-APPLICATION-Brute-PASS conf
white_url.data
black_url.data
……
更多的規則，可以去https://github.com/SpiderLabs/ModSecurity官方網站下載，把文件保存在rule目錄下即可。

3、機器學習配置
一般來說，機器學習是自動完成的，不用配置。當然也可以為機器精確設置要學習的網站文件所對應的目錄，這樣學習更快速、準確：
ml.cfg：

#www_dir /usr/share/nginx/html/

#缺省是報警模式ruleAction alert，要設置為阻斷模式，請開啟ruleAction drop
#ruleAction drop

4、 機器學習對抗規則
Rules目錄下的gan.rule是機器學習自動生成的對抗規則文件，為了方便測試，默認了一條接口規則https://serverip/hihttps.html?id=xxx

三、運行測試

運行./hihttps，如果界面打印出了OWASP 規則、Mache Learning（機器學習規則），并且顯示了start ok……就說明正常。
1、OWASP 規則測試
可以用Kali Linux，集成了很多web漏洞掃描工具，非常方便測試，如nkito等。
運行 nikto -h 192.168.0.1 -p 80,81 -C
或者nikto -host www.baidu.com –C port 443 –ssl
hihttps主界面就會打印出，大量的報警日志。

2、機器學習測試

機器學習是hihttps的核心，但采集成千上萬的樣本需要一定時間，為了方便測試，默認了一條hihttps.html機器學習樣本。
https://serverip/hihttps.html?id=123,采集到的樣本大于99%都是這種形態，那么瀏覽器輸入下面的網址，都將視為***：

***測試樣本：
https://serverip/hihttps.html?id=123' or 1='1
https://serverip/hihttps.html?id=<script>alert(1);</script>

https://serverip/hihttps.html?id=1234567890&t=123
https://serverip/hihttps.html?id=abc

如果上圖界面，打印出了***日志，那么恭喜你，系統運行正常，hihttps保護成功。

報警日志產生在log目錄下，按天存儲，格式是這樣的。。
2020-02-09 21:14:49  192.168.1.153:59615 [ALERT]  [888] [GET /hihttps.html] STR:"ff" Matched, Machine Learning : Detect an attack,value is not a number...
…..
四、正式部署
作為免費版本，到這里就結束了。實際部署的時候，把hihttps和nginx（apache）的端口換一下，hihttps綁定80和443，nginx（apache）綁定127.0.0.1:81就可以了。

修改hihttps.cfg文件相關配置：
http://serverip/ <==> http://127.0.0.1:81/
https://serverip/ <==> http://127.0.0.1:81/

用機器學習幾天后，如果人工核實報警準確率大于99.9%，在不影響生產的情況下，可以修改ml.cfg文件，開啟ruleAction drop阻斷模式。

hihttps企業版付費本無非就是開源，并且有專門的WEB管理界面而已，核心防護功能都一樣，小企業沒必要再去購買昂貴的WAF。

五、總結
1、傳統的waf規則很難對付未知漏洞和未知***。讓機器像人一樣學習，具有一定智能自動對抗APT***或許是唯一有效途徑，但******技術本身就是人類最頂尖智力的較量，WEB安全仍然任重而道遠。
2、幸好hihttps這類免費的應用防火墻在機器學習、自主對抗中開了很好一個頭，未來WEB安全很可能是特征工程+機器學習共同完成，必然是AI的天下。

如果大家還有什么地方需要了解的可以在億速云官網找我們的CDN技術工程師的，億速云CDN技術工程師在行業內擁有十幾年的經驗了，所以會比小編回答的更加詳細專業。億速云官網鏈接www.neiyidaogou.com