类编程的WAF（上）

一、复杂的需求

WAF (WEB 应用防火墙) 用来保护 WEB 应用免受来自应用层的攻击。作为防护对象的 WEB 应用，其功能和运行环境往往是复杂且千差万别的，这导致即便防御某个特定的攻击方式时，用户需求也可能是细致而多样的。

以最基本的 SQL 注入 (以下简称注入) 为例。注入攻击当然是要防范的，但用户可能还有以下需求：

• 某个域名或某些特定的 URL 不需要注入检查
• 对来自外网的注入访问进行拦截，来自内网的注入访问只记录不拦截
• 对特定的请求参数名或特定特征的请求参数不进行注入检查
• 非工作时段不仅拦截还阻止该用户一段时间访问
• 对 admin 等管理账号登录后的访问不进行注入检查
• 对于只记录不拦截的请求，附加一个特别的请求头发往应用
• 对某些 URL 的注入访问记录下 HTTP 请求的全部报文
• 将 HTTP 响应码为 500 的注入的日志紧急度设为 alert
• ...

以上需求，用户可能只提出一项，也可能提出多项，还可能是不同的逻辑组合或更多的条件和动作。这还仅仅是防注入这项基本功能，如果有更多的应用防护需求，比如：

一个已登录的非内网用户在 10 秒钟连续访问 POST 方法的页面 (非 AJAX 数据) 达到 5 次，则在 10 秒内延迟这个用户的响应时间 0.5 秒；如果在未来 10 秒内继续访问 POST 方法页面 3 次，则强制用户登出并阻止登录 30 秒；如果一个用户 1 天内这种情形发生 5 次，则产生一条严重级别的告警。

我们该如何描述满足这些需求的功能呢？

WAF是否能够设计得足够灵活，使得实施人员通过现场配置就能实现这个需求？

二、规则的局限性

大部分应用防火墙的配置以规则为核心。

传统意义上的规则，其实质形式是独立的一行行文本，每行文本有固定的结构／字段，可以独立地描述出一个功能。对用户而言，书写规则就是设置其中的参数和选项。这种规则的好处是简单明了，用户甚至可以在图形化界面中完成规则的配置，但其弱点是不足以描述复杂的情形。

以防注入功能为例，如果它只有一个开启或关闭的开关选项，或只能简单地以区分站点来使用不同策略，显然不能满足前述的复杂需求。而企图打造一个预先设定又包罗万象的规则，则完全超出了“规则”的范畴，是不可能完成的任务。

追溯一下，用规则来描述防护功能始自于网络防火墙。网络防火墙的检查对象是 TCP / IP 协议诸元，三/四层网络协议相对来说是简单清晰的，用五元组就可以概括它们，以五元组为对象写一些规则就能够很好地实现防护。

但是，WEB 应用是怎么写成的？WEB 应用是用 Java / PHP / Python 等编程语言写成的。就像不可能用“规则"来书写 WEB 应用一样，试图良好地对应用进行防护，也不可能通过传统的“规则"来实现——无论写多少条规则。

三、大家一起来编程？

既然应用是编程的，那么应用防火墙的配置可否也用编程的方式来实现？

以下是一个通用语言实现的例子，它的主功能是对请求参数进行注入检查，检查时会排除指定名字的参数，而且对不同来源访问者 (外网或内网) 产生不同的日志和动作：

for arg in ARGS:
    if arg['name'] in ['__utm', '__token']:
        return PASS

    if detect_sqli(remove_comment(url_decode(arg['value']))):
        if is_private_address(REMOTE_ADDRESS):
            log('SQLi and PASS')
            return PASS
        else:
            log('SQLi and BLOCK')
            return BLOCK
return PASS

功能是实现了，但看上去有点复杂。让非程序员去写这样一段代码难免强人所难 (比如对集合类型数据的遍历获取)，而且完全不可能做到可视化。更重要的是，这仅是代码片段 (其实就是函数)，真的要整合起来使用，还面临很多编程方面的问题，如：

• 除错和容错：
  
  各种语法错误和链接错误，比如使用了不存在的变量或方法。
• 批量控制：
  
  怎样实现全局和批量的改变，比如想让 WAF 全局进入只记录模式。
• 作用域：
  
  每个代码片段有自己的作用域，如果想影响其他代码片段应该怎么做？如何定义变量作用域？
• 与预置防护集的关系：
  
  WAF 必然自带预置的防护集，用户书写的代码与预置防护集的关系。
• 参数的设置：
  
  应用相关的可配置参数怎么处理，是作为常量写在程序里 (难以维护) 还是另作一个配置文件 (程序变得更复杂)？

以上问题，如果都通过临时修改代码 (全局替换或加注释) 来实现，则代码将变得不可维护。事实上，由于代码的无限可能性，甲写的代码乙很难理解。为解决上述问题，必须要有一套程序框架，而框架本身的编写、配置和使用又成了问题。

有没有一种方法，不需要使用编程语言，而又能灵活满足复杂的需求呢？

四、类编程的WAF

天存信息的类编程 WAF，用数据结构来表达程序思想，让普通的技术支持人员也能够写出足够复杂和灵活的安全策略。

{
	"if": {
		"variables": "ARGS",
		"transform": "urlDecodeUni",
		"operator": "detectSQLi"
	},
	"then": {
		"verdict": {
			"action": "block",
			"log": true
		}
	}
}

可见，这时的“规则”已经不是一行文本了，而是具有代码特征的一个函数实现 。

类编程的 WAF 具有以下与编程语言相似的特性：

• 无限嵌套的 if / the / else 条件判断
• 完整的 and / or / not 逻辑运算符
• 对集合 / 数组成员的遍历运算
• 变量包含多种数据类型
• 支持变量的宏扩展引用
• 用户自定义变量和表达式赋值
• 预置及可设置不同生命期的全局变量
• 用户书写任意多样的动作
• 函数返回值灵活控制流程
• 运行时改变其他函数行为

而这灵活内涵的表面，却能够用规范的模式 (schema) 来约束，使得写出的类程序易读且统一，甚至做到可视化呈现。