Cloudflare Web 應(yīng)用程序防火墻(WAF)每天阻止超過 570 億次 HTTP 請求,按照每秒計算可達到 65 萬次。過濾這些流量的原始代碼是由 Cloudflare 現(xiàn)任 CTO 編寫的,迄今 WAF 已享譽無數(shù),包括在 2020 年度 Gartner Magic Quadrant WAF 評測中獲得“執(zhí)行能力”最高分。
Cloudflare 非常重視用戶體驗,所以經(jīng)常在代碼不便于維護、性能下降或無法擴展時對代碼進行替換,重寫 Cloudflare 堆棧的關(guān)鍵部分,并改進了用戶界面。
如今Cloudflare又隆重推出了全新的 Cloudflare Web 應(yīng)用程序防火墻。
全新的Cloudflare WAF 亮點
更佳的規(guī)則瀏覽和配置
輕松一鍵部署但不失強大的工具:高級過濾、批量編輯、規(guī)則標(biāo)記等。打開所有 Wordpress 規(guī)則、將所有 Cloudflare 托管規(guī)則設(shè)置為 LOG 或找出哪些規(guī)則沒有運行現(xiàn)已變得輕而易舉。
全新匹配引擎
以 Rust 編寫,支持 wirefilter 語法 —— 與自定義防火墻規(guī)則所用語法相同。這個引擎讓我們加快托管規(guī)則的部署,并允許 WAF 部署到更多流量上,從而擴展到下一個級別。與此同時,性能和安全性都得以改善。
更新的規(guī)則集
全新 WAF 附帶更新的規(guī)則集,提供更佳的控制以將規(guī)則狀態(tài)與操作分開。Cloudflare OWASP 核心規(guī)則集也已基于 OWASP 核心規(guī)則集最新版本(截至撰寫時為 v3.3),與當(dāng)前版本相比,增加了 paranoia 級別,并改善了誤報率。
全球配置
在您的整個帳戶部署相同的配置。將規(guī)則以規(guī)則集的方式分組,并使用原生版本控制和回滾能力。
更佳的規(guī)則瀏覽和配置
Cloudflare 托管規(guī)則集是 WAF 的重要組成部分之一。其中包括數(shù)百條 Cloudflare 提供和維護的規(guī)則。新的 WAF 用戶界面一鍵打開 Cloudflare 托管規(guī)則集和 Cloudflare OWASP ModSecurity 核心規(guī)則集。現(xiàn)在,所有規(guī)則都顯示在一個表格中——一鍵即可按照規(guī)則狀態(tài)、操作和標(biāo)記過濾。規(guī)則標(biāo)記也代替了分組,一項規(guī)則可能有一個或多個標(biāo)記,大大提高了系統(tǒng)的靈活性。全新 WAF 規(guī)則集瀏覽器,批量操作選項、標(biāo)記和過濾組件匯集一身。
全新匹配引擎
目前的 Cloudflare WAF 負(fù)責(zé)執(zhí)行托管規(guī)則集,是以 LuaJIT 編寫并作為一個 NGINX 模塊部署的。規(guī)則語法遵循 ModSecurity 實現(xiàn)所用語法的一個超集,增加了針對 Cloudflare 實現(xiàn)的功能。通過遷移到新引擎,旨在實現(xiàn):更安全、更佳和更高性能的環(huán)境,與 Cloudflare 使用的其他技術(shù)一致。新引擎是在 Rust 中實現(xiàn)的。我們也在努力確保新的實現(xiàn)不僅可以改善安全,也能提高速度。
更新的 Cloudflare 規(guī)則集
Cloudflare 規(guī)則集已更新并移植到新的 WAF 上。值得注意的是,該規(guī)則集目前使用 wirefilter 語法,且規(guī)則狀態(tài)與規(guī)則操作分離,使您能獨立配置兩者。
與現(xiàn)有系統(tǒng)相比,新的 Cloudflare OWASP 核心規(guī)則集以及新增的引擎功能帶來了一些改進:
l 更少誤報,更強大的應(yīng)用程序通用規(guī)則
l 對敏感度得分的更多控制,清晰顯示每項規(guī)則對分?jǐn)?shù)的貢獻程度以及被觸發(fā)請求的總分?jǐn)?shù)是多少
l 增加 paranoia level —— 可基于誤報風(fēng)險輕松包含或排除規(guī)則組
l 規(guī)則標(biāo)記允許使用基于應(yīng)用程序的相關(guān)規(guī)則進行部署
Cloudflare正計劃將來開源并在用戶界面中公布轉(zhuǎn)換器,以便客戶能更易從基于 ModSecurity 的 WAF 遷移到 Cloudflare。
全球配置
從一開始,Cloudflare 一直在基于站點的模型上運行 Cloudflare WAF。這種方式非常適用于簡單的用例,即客戶保護少量應(yīng)用程序,或者在每個站點的應(yīng)用程序類型非常多樣化。通過新 WAF,可在單一帳戶下的任意流量過濾器上進行規(guī)則集部署。
更多驚喜,更多創(chuàng)新,盡在全新的 Cloudflare WAF !
