Gloo Gateway中的Web应用防火墙(WAF)配置指南

什么是Web应用防火墙(WAF)

Web应用防火墙(WAF)是一种用于保护Web应用程序的安全解决方案，它通过监控、过滤和拦截潜在的恶意HTTP流量来保护应用安全。在Gloo Gateway中，WAF功能基于开源的ModSecurity框架实现，为您的应用提供额外的安全防护层。

WAF工作原理

WAF工作在应用层(OSI第7层)，能够深入分析HTTP/HTTPS请求内容。当Gloo Gateway接收到请求时，WAF会：

1. 解析请求内容
2. 根据预定义的规则集检查请求
3. 对可疑或恶意请求采取拦截措施
4. 记录安全事件

同样地，WAF也会检查从应用返回的响应内容，防止敏感信息泄露。

ModSecurity规则集

Gloo Gateway支持ModSecurity 3.2.1版本，这是一个广泛使用的开源WAF框架。ModSecurity使用基于规则的语法来定义安全策略，主要特点包括：

• 灵活的规则语言
• 跨平台支持
• 透明安全实践
• 针对多种Web攻击的防护

您可以使用两种方式定义安全规则：

1. 公共规则集：如OWASP核心规则集(CRS)，提供针对常见威胁的防护
2. 自定义规则：根据业务需求编写特定规则

WAF API详解

Gloo Gateway提供了简洁的API来配置WAF策略。核心配置包括：

message ModSecurity {
    bool disabled = 1;  // 是否禁用WAF
    repeated RuleSet rule_sets = 2;  // 规则集列表
    string custom_intervention_message = 3;  // 自定义拦截消息
}

message RuleSet {
    string rule_str = 1;  // 直接编写的规则字符串
    repeated string files = 3;  // 规则文件列表
}

规则集的加载顺序很重要，后加载的规则会覆盖前面冲突的规则。

配置示例

以下是一个基础WAF配置示例，它实现了两个功能：

1. 启用规则引擎
2. 拦截User-Agent头为"scammer"的请求

ruleSets:
  - ruleStr: |
      SecRuleEngine On
      SecRule REQUEST_HEADERS:User-Agent "scammer" "deny,status:403,id:107,phase:1,msg:'blocked scammer'"

配置WAF策略

WAF策略可以在三个层级配置，优先级从高到低为：

1. 路由(Route)级别
2. 虚拟服务(VirtualService)级别
3. HTTP网关(HttpGateway)级别

HTTP网关级别配置

适用于所有进入网关的流量：

kubectl edit gateway -n gloo-system gateway-proxy

添加以下配置：

httpGateway:
  options:
    waf:
      customInterventionMessage: '访问被拒绝'
      ruleSets:
      - ruleStr: |
          SecRuleEngine On
          SecRule REQUEST_HEADERS:User-Agent "scammer" "deny,status:403,id:107,phase:1,msg:'拦截恶意用户代理'"

虚拟服务级别配置

适用于特定应用的流量：

kubectl edit virtualservices.gateway.solo.io -n gloo-system default

添加配置：

spec:
  virtualHost:
    options:
      waf:
        customInterventionMessage: '应用访问受限'
        ruleSets:
        - ruleStr: |
            SecRuleEngine On
            SecRule REQUEST_HEADERS:User-Agent "scammer" "deny,status:403,id:107,phase:1,msg:'拦截恶意用户代理'"

动态加载规则集

对于生产环境，建议使用ConfigMap动态管理规则集：

1. 创建规则文件：

cat <<EOF > wafruleset.conf
SecRuleEngine On
SecRule REQUEST_HEADERS:User-Agent "scammer" "deny,status:403,id:107,phase:1,msg:'拦截恶意用户代理'"
EOF

2. 创建ConfigMap：

kubectl --namespace=gloo-system create configmap wafruleset --from-file=wafruleset.conf

3. 在网关配置中引用：

configMapRuleSets:
- configMapRef:
    name: wafruleset
    namespace: gloo-system

OWASP核心规则集配置

Gloo Gateway内置支持OWASP核心规则集(CRS)：

waf:
  coreRuleSet:
    customSettingsString: |
      SecRuleEngine On
      SecRequestBodyAccess On
      SecDefaultAction "phase:1,log,auditlog,deny,status:403"
      SecDefaultAction "phase:2,log,auditlog,deny,status:403"
      SecAction \
        "id:900230,\
          phase:1,\
          nolog,\
          pass,\
          t:none,\
          setvar:'tx.allowed_http_versions=HTTP/2 HTTP/2.0'"

IP白名单配置

实现IP访问控制：

ruleStr: |
  SecRuleEngine On
  SecRule REMOTE_ADDR "!@ipMatch 192.168.1.0/24" \
    "id:1000,\
    phase:1,\
    deny,\
    status:403,\
    msg:'IP地址不在白名单中'"

最佳实践

1. 在测试环境使用SecRuleEngine DetectionOnly模式先观察效果
2. 合理规划规则加载顺序
3. 为关键规则设置明确的ID便于管理
4. 定期审查和更新规则集
5. 配置适当的日志记录级别

通过合理配置WAF，您可以有效保护Gloo Gateway管理的应用免受各种Web攻击威胁，同时保持应用的可用性和性能。