如果說 SmartWAF v2.5 是 SmartWAF 2 的強化版,不如說是 SmartWAF v3 的嘗鮮版。 SmartWAF v3 可以說是總合 SmartWAF v2 時代許多客戶的需求以及 SmartWAF v2.5 上的一些實驗性新功能,所推出來的新版本。 SmartWAF v3 整體介面風格並沒有多少改變(預計3.5版會改頭換面),但是有幾項主要改變與新增功能特色:
1.集中更新派送
其實 SmartWAF 的更新已經很簡單了,有安裝過的人都知道,只是 Web Server 一多,一台台連進去更新總是不夠方便。集中更新派送的功能主要提供給大量使用 SmartWAF 的客戶,透過管理介面就可以遠端更新各台 Web Server 上的 SmartWAF ,就像是企業防毒軟體的中控台一樣,這樣一來,無需一台一台 Web Server 遠端登入然後手動進行更新,版本更新也變得更加方便,另外也可以遠端停止 SmartWAF 運行或是重新啟動。
之前總是會有人會把 SmartWAF 與免費產品拿來比較,這個功能應該在免費的 WAF 產品上找不到吧。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhSOK15-pJrqiodVddjL4tl9gfhT-ox73biLldmRmzTAnSCRDDwbHSjz4yJOnj833z60RYx_qYY6Yb7P2u8AON5QlBL93ehp2PPB8g7mbPTHHWeeQ9Un1CYQjYG72ysN1xOG2mdzJoZN5Sc/s400/update-center.png)
2.支援多處理器
支援多處理器是 SmartWAF3 的一個重要里程碑。過去 SmartWAF 啟動時會同時生出多個 process ,但是並不支援多處理器模式,在多處理器環境下只能為每個 process 分配處理器來利用 CPU 資源。現在 SmartWAF v3 已經支援多處理器模式,甚至還可以指定要使用幾個處理器,一些比較繁重的工作如統計、過濾 response body 等就可以分散給多個處理器同時處理,不再只是佔用特定的處理器,其他處理器卻是閒得發慌。
相較之下,許多免費產品使用單一 process ,也不能充分利用 CPU 資源, process 一旦異常就整組報銷,而流量大一忙碌時,也沒辦法有效運用系統資源。
3.偵測模式與保護模式
在 SmartWAF v3 以前,如果想先觀察規則的嚴密程度,是否有誤擋情形,都必須使用 SHADOW Rules 。許多客戶在試用階段僅需要使用 SHADOW Rules ,另外有些客戶則是把 SmartWAF 當成 WebIDS 來用,一般用戶則在上線前都需要觀察一陣子,因此從 SmartWAF3 開始,提供了兩種模式,分別為偵測模式(Detection Mode)與保護模式(Protection Mode),用以提供使用者更直觀的操作體驗。
細部的實際操作與過去的 SHADOW Rules 與 ACTIVE Rules 相差不大,只是現在預設都處於偵測模式,相關規則設定、學習、匯入完成並觀察運行一陣子並微調完畢後,只需要切換到保護模式即可上線提供保護,攔阻違規的網頁存取行為。
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinfKhdIbCBQFZAY0RMBQUUWzzs7mwYqyvfxGknUQnpKYFTDUojJ8U2twMxuZxwp5moo2G9mJFrgYy71FsCfPRH1_m3sZ-7SDOZnn1HntJS2v81zAwAROqAsi5Q7_Zr-InadbXHwqtGmumu/s400/detection-protection.png)
4.異常警示
異常警示功能在 SmartWAF v2.5 就有了,到了 SmartWAF v3 又有了強化。過去僅能做到系統級別的警示,例如 SmartWAF 總存取量異常增加等,現在可以進一步到 Application 級別的警示,也就是說當某個 Application 內所保護網站的總存取量異常增加時,一樣可以發出示警。另外,現在示警的方式也增加了 SNMPTrap 這種方法,許多有使用用網管系統,或是有 NOC 或 SOC 的單位都可以接收 SNMP Trap。
目前系統層級的警示類型包含:
a. Cluster State - 例如叢集成員斷線或是系統異常無法回應
b. Requests Per Minute - 例如 DoS 或是弱點掃描
c. Denied Requests Per Minute - 例如弱點掃描
而 Application 級別的警示類型包含:
a. Requests Per Minute Per Application
b. Denied Requests Per Minute Per Application
c. New Sessions Per Minute Per Application - 例如弱點掃描或是 Session 猜測
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi1S732ozV57psCsXJ19Z5KBlNFABhQQER63ssxjdyrjAknEFLC3EtBOU5nxcxcycoTVMGo5FUFLuius8SA9OtPEMSgplCDknCHU4evMaJpiQDdJ9BjQ_38CbmCWFUW7jxdV22WEI1XQ0IR/s400/app-evt-src.png)
目前發出警示的方法則包括:
a. Mail - 寄送警示至相關信箱
b. Post - 傳送警示至特定網頁
c. LogFile - 儲存警示至特定紀錄檔
d. SNMPTrap - 透過 SNMP Trap 送出警示
![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj8DRqCdc09H9qRI7_4VdvpZgMPfF42P29QT-XvcrNOrUl0Z346Czts0-K2Hq7ixUeEUM9pM5OMAXxQjjNDjYmw9e9K8cOva30wlA0YU2o2EXVUz-95sye5QQtpUR3EBHiH95sf8l3Ao5tL/s400/app-evt-des.png)
預計下個版本還會增加更多的警示類型與方式。
另外還有許多改進如新增的 Preconditions 、新增的 Handlers 、許多 Handlers 內的新增參數、每週及每月 PDF 統計報告、叢集成員系統狀態統計與特定 Handler 狀態統計等,功能強化不少,我就不一一列出了,有興趣試試看的,歡迎進一步連繫囉。
作者 Wisely 為 阿碼科技 產品經理
1 篇回應 :
3.0版用起來真的很舒服^^
。增加了HTTPS,讓管理連線更安全
。Baseline的下載讓規則定訂更快更簡單
。安裝更加穩定,減少調整微調設定
。server資源使用也更穩(吃CPU的部份目前看來還很穩^^)
。有發mail警訊功能
。統計圖型更細緻
。報表匯出功能超方便(而且很詳細)
。cluster功能…呵~還沒試++
。偵測與預防功能很方便(就像IDS與IPS的觀念)
。support8CPU @@ (希望有機會可以玩到^^)
。可用16個App (裝的了這麼多嗎??)
………
希望未來有的功能:
。能有自動更新防禦rule的功能:
就像windows一樣,你買了這個版本的授權,就可以更新這個版本的防禦規則~
不過…smartWAF更新這麼快~可以用如時間基準,一年內可不斷更新之類的~有自動更新的機制可以讓WAF產品更強喔^^
smartWAF加油!!
嘿~~ 頭好粉絲 漢克
張貼留言