一个新的CloudFlare Web应用程序防火墙

2021-03-30 00:34:07

CloudFlare Web应用防火墙(WAF)每天阻止超过570亿个网络威胁。这是每秒650k阻止HTTP请求。过滤此流量的原始代码由CloudFlare现在编写了CTO,WAF已收到许多招待,包括在2020 Gartner魔法象限中执行的最高分数,以便在WAF的2020 Gartner魔法象限中执行。

由于我们重视代码代码,当它不再是可维护,执行或可扩展,我们经常重写CloudFlare堆栈的关键部分。这是必要的,因为我们的巨大增长使昨天的解决方案是不可行的。一段时间,我们一直在替换原始的洛杉矶守则约翰写作新的代码,以锈迹编写,以及改进的UI。

从今天开始,每当添加Pro计划区域或更高时,将在CloudFlare上获得10%的CloudFlare帐户访问新WAF。这一百分比将在4月份的新账户中增加到100%,之后将开始迁移工作,以便为现有客户开始。企业客户可以通过联系他们的帐户团队提前迁移。

Web应用程序防火墙(WAF)是CloudFlare平台的核心组件。作为投资组合中最常用的产品之一,我们已经获得了许多反馈和经验,从规模运行,这有助于指导我们在这一重播中。新的WAF带来:

更好的规则浏览和配置 - 轻松一单击部署而不丢失电动工具:高级过滤,批量编辑,规则标记等。打开所有WordPress规则,将所有CloudFlare托管规则设置为日志或弄清楚哪些规则现在不容易。

一种新的匹配引擎 - 用Rust编写并支持Wirefilter语法 - 自定义防火墙规则使用的相同语法。此引擎将允许我们具有更快的托管规则部署以及通过允许WAF部署在更多流量上通过允许部署WAF来扩展到下一个级别的能力。所有的同时提高性能和安全性。

更新的规则集 - 具有更新规则集的新WAF船舶,可从操作提供更好的控制分离规则状态。 CloudFlare Owasp核心规则规则还基于最新版本的OWASP核心规则集(写作时的V3.3),这增加了偏执纳级水平并与当前版本的可用版本提高了误报率。

全局配置 - 在整个帐户中部署相同的配置。将组规则作为规则集并使用本机版本控制和回滚功能。

上面的列表只是我们兴奋的东西的一个小的子集,每个点都值得自己的帖子,但这是亮点。

CloudFlare管理规则集包括CloudFlare特价1组,是WAF的主要组件之一。它有几百条规则,由CloudFlare提供和维护。在其默认配置中,我们的目标是实现非常低的误率,同时为任何Web应用程序提供非常好的安全基准。虽然,您应该尽可能多的规则。这意味着,有时是基于基础应用程序深度潜入并自定义规则集行为。

使用新WAF,我们希望确保启用托管规则集是一个单击默认配置的单击努力,同时为那些感兴趣的人提供更好的配置体验。

今天,要打开我们的CloudFlare托管规则集,您需要启用全局WAF交换机并配置任何统治的兴趣组。包含WordPress,Joomla,PHP和类似的十个规则组将直接显示在页面上,开/关切换。此UI不允许在不单独检查每个规则的情况下轻松过滤或配置规则。

虽然UI很简单,但它不允许快速执行常见任务。例如:向我展示已关注或显示所有规则的所有规则,这些规则都缓解了XSS攻击。现在,所有规则都显示在单个表中 - 但通过规则状态,操作和标记过滤是单击一下。规则标记也替换组,规则可能有一个或多个标签,使系统更灵活。标签将用于:

最后,除了内联单规则控件之外,我们还允许批量编辑控件,以允许基于特定用例的更快的配置更改。

正如我们预期可用于增加的规则数量,并且对于更多用户采用自定义配置,我们在部署配置更改时添加了一个评论屏幕。从这里可以轻松查看默认值的任何更改,并选择恢复它们。

当前CloudFlare WAF负责托管规则集执行,在Luajit中写入,并以NGINX模块实现。规则语法遵循ModSecurity实现的语法的超集,其中包含特定于CloudFlare实现的功能。

曝光更好的过滤和匹配能力,以允许部署的灵活性和更容易的异常处理

通过采用Wirefilter语法作为托管规则集的基础,设置统一的产品功能

最后一点不仅对我们来说尤为重要,而且对我们的用户来说尤其重要,因为这个语法已经用于我们的自定义防火墙规则,这甚至使用相同的底层生锈库来执行过滤器!

新引擎在锈病中实施,我们谈到了在这篇博客上我们在这件博客之前多次热爱了多少。我们还努力确保这一新的实施不仅具有安全改进,而且速度改进,我们&#39的细节也是如此; LL进入未来的博客文章。

CloudFlare规则集已更新并移植到新WAF。值得注意的是,数据集现在使用Wirefilter语法和规则状态与规则操作分离,允许您独立配置。

CloudFlare OWASP核心规则集还从发动机独立接收到一个重大更新。当前CloudFlare WAF实现了官方OWASP ModSecurity Core规则集的2.x版本。在新的WAF中,CloudFlare OWASP核心规则集是直接基于GitHub存储库可用的最新3.3版本。

新的CloudFlare OWASP核心规则集以及增加的引擎功能,带来了几个对现有的改进:

更多对灵敏度得分的控制,并清楚地指示每个规则有助于分数的贡献以及总分对触发的请求

添加偏执狂水平 - 根据虚假阳性风险提供易于包含或排除或规则组

作为将最新版本的OWASP ModSecurity CoreSet转换为其CloudFlare实现的努力的一部分,该团队还建立了ModSecurity至Wirefilter语法转换器。这将使我们能够在任何上游改进后轻量地部署和更新规则集,以确保客户始终可以访问最新版本。我们还计划在未来开源并在UI中公开转换器,使客户迁移从基于ModSecurity的WAF到CloudFlare更轻松。

由于开始以来,CloudFlare在基于区域的CloudFlare Waf的模型上运行。这适用于客户在客户正在保护少量应用程序的简单用例,或基于每个区域的非常多样化的应用程序。

跨区域的更复杂或统一的部署通常通过利用诸如我们的CloudFlare Terraform提供商等API或自动化工具来实现。

使用新的WAF,可以在单个帐户下的任何任意流程过滤器中进行规则集部署。例如:

在路径中不包含/ API / *的所有流量上部署CloudFlare OWASP核心规则集。

为实现这一目标,规则集(规则组)成为第一类概念,并且本身已在UI中直接允许回滚和差异,我们计划在未来几个月开始暴露在UI中。

基于帐户的配置最初仅适用于现在可以通过联系其帐户团队请求早期访问的企业客户使用。自定义防火墙规则本身将很快迁移到新引擎上,允许客户创建自己的自定义防火墙规则集,并根据任何流过滤器按照所需部署它们。

WAF有很多比符合眼睛,团队已经忙于完成新WAF内置的一套附加功能 - 这些包括改进发动机本身,更好地分析和可操作活动的可见性。事实上,整个引擎是旨在成为许多CloudFlare规则的产品的基础,目的是最终将整个CloudFlare配置作为一组规则。

与此同时,我们期待您的反馈,我们很高兴看到我们能够创新多远。

....... 1 CloudFlare特价是CloudFlare安全团队基于观察和保护坐在CloudFlare平台后面的数百万个Web应用程序的规则。

安全周WAF防火墙产品新闻