Cloudflare Web 應(yīng)用程序防火墻(WAF)每天阻止超過(guò) 570 億次 HTTP 請(qǐng)求,按照每秒計(jì)算可達(dá)到 65 萬(wàn)次。過(guò)濾這些流量的原始代碼是由 Cloudflare 現(xiàn)任 CTO 編寫的,迄今 WAF 已享譽(yù)無(wú)數(shù),包括在 2020 年度 Gartner Magic Quadrant WAF 評(píng)測(cè)中獲得“執(zhí)行能力”最高分。
Cloudflare 非常重視用戶體驗(yàn),所以經(jīng)常在代碼不便于維護(hù)、性能下降或無(wú)法擴(kuò)展時(shí)對(duì)代碼進(jìn)行替換,重寫 Cloudflare 堆棧的關(guān)鍵部分,并改進(jìn)了用戶界面。
如今Cloudflare又隆重推出了全新的 Cloudflare Web 應(yīng)用程序防火墻。
全新的Cloudflare WAF 亮點(diǎn)
更佳的規(guī)則瀏覽和配置
輕松一鍵部署但不失強(qiáng)大的工具:高級(jí)過(guò)濾、批量編輯、規(guī)則標(biāo)記等。打開所有 Wordpress 規(guī)則、將所有 Cloudflare 托管規(guī)則設(shè)置為 LOG 或找出哪些規(guī)則沒有運(yùn)行現(xiàn)已變得輕而易舉。
全新匹配引擎
以 Rust 編寫,支持 wirefilter 語(yǔ)法 —— 與自定義防火墻規(guī)則所用語(yǔ)法相同。這個(gè)引擎讓我們加快托管規(guī)則的部署,并允許 WAF 部署到更多流量上,從而擴(kuò)展到下一個(gè)級(jí)別。與此同時(shí),性能和安全性都得以改善。
更新的規(guī)則集
全新 WAF 附帶更新的規(guī)則集,提供更佳的控制以將規(guī)則狀態(tài)與操作分開。Cloudflare OWASP 核心規(guī)則集也已基于 OWASP 核心規(guī)則集最新版本(截至撰寫時(shí)為 v3.3),與當(dāng)前版本相比,增加了 paranoia 級(jí)別,并改善了誤報(bào)率。
全球配置
在您的整個(gè)帳戶部署相同的配置。將規(guī)則以規(guī)則集的方式分組,并使用原生版本控制和回滾能力。
更佳的規(guī)則瀏覽和配置
Cloudflare 托管規(guī)則集是 WAF 的重要組成部分之一。其中包括數(shù)百條 Cloudflare 提供和維護(hù)的規(guī)則。新的 WAF 用戶界面一鍵打開 Cloudflare 托管規(guī)則集和 Cloudflare OWASP ModSecurity 核心規(guī)則集。現(xiàn)在,所有規(guī)則都顯示在一個(gè)表格中——一鍵即可按照規(guī)則狀態(tài)、操作和標(biāo)記過(guò)濾。規(guī)則標(biāo)記也代替了分組,一項(xiàng)規(guī)則可能有一個(gè)或多個(gè)標(biāo)記,大大提高了系統(tǒng)的靈活性。全新 WAF 規(guī)則集瀏覽器,批量操作選項(xiàng)、標(biāo)記和過(guò)濾組件匯集一身。
全新匹配引擎
目前的 Cloudflare WAF 負(fù)責(zé)執(zhí)行托管規(guī)則集,是以 LuaJIT 編寫并作為一個(gè) NGINX 模塊部署的。規(guī)則語(yǔ)法遵循 ModSecurity 實(shí)現(xiàn)所用語(yǔ)法的一個(gè)超集,增加了針對(duì) Cloudflare 實(shí)現(xiàn)的功能。通過(guò)遷移到新引擎,旨在實(shí)現(xiàn):更安全、更佳和更高性能的環(huán)境,與 Cloudflare 使用的其他技術(shù)一致。新引擎是在 Rust 中實(shí)現(xiàn)的。我們也在努力確保新的實(shí)現(xiàn)不僅可以改善安全,也能提高速度。
更新的 Cloudflare 規(guī)則集
Cloudflare 規(guī)則集已更新并移植到新的 WAF 上。值得注意的是,該規(guī)則集目前使用 wirefilter 語(yǔ)法,且規(guī)則狀態(tài)與規(guī)則操作分離,使您能獨(dú)立配置兩者。
與現(xiàn)有系統(tǒng)相比,新的 Cloudflare OWASP 核心規(guī)則集以及新增的引擎功能帶來(lái)了一些改進(jìn):
l 更少誤報(bào),更強(qiáng)大的應(yīng)用程序通用規(guī)則
l 對(duì)敏感度得分的更多控制,清晰顯示每項(xiàng)規(guī)則對(duì)分?jǐn)?shù)的貢獻(xiàn)程度以及被觸發(fā)請(qǐng)求的總分?jǐn)?shù)是多少
l 增加 paranoia level —— 可基于誤報(bào)風(fēng)險(xiǎn)輕松包含或排除規(guī)則組
l 規(guī)則標(biāo)記允許使用基于應(yīng)用程序的相關(guān)規(guī)則進(jìn)行部署
Cloudflare正計(jì)劃將來(lái)開源并在用戶界面中公布轉(zhuǎn)換器,以便客戶能更易從基于 ModSecurity 的 WAF 遷移到 Cloudflare。
全球配置
從一開始,Cloudflare 一直在基于站點(diǎn)的模型上運(yùn)行 Cloudflare WAF。這種方式非常適用于簡(jiǎn)單的用例,即客戶保護(hù)少量應(yīng)用程序,或者在每個(gè)站點(diǎn)的應(yīng)用程序類型非常多樣化。通過(guò)新 WAF,可在單一帳戶下的任意流量過(guò)濾器上進(jìn)行規(guī)則集部署。
更多驚喜,更多創(chuàng)新,盡在全新的 Cloudflare WAF !
