Web應(yīng)用防火墻(WAF)市場正在不斷壯大，這主要?dú)w因于企業(yè)紛紛采用基于云的WAF服務(wù)。基于云的WAF服務(wù)一開始就立足于多租戶、基于云，從長遠(yuǎn)來看它可以避免對(duì)遺留代碼進(jìn)行成本高昂的維護(hù)。此外，它還提供了競爭優(yōu)勢，因?yàn)榘l(fā)布周期更短，還可以迅速實(shí)施創(chuàng)新功能。

隨著應(yīng)用程序格局的變化，我們用于保護(hù)企業(yè)系統(tǒng)及其處理數(shù)據(jù)的工具也在隨之發(fā)生變化。其中，WAF的發(fā)展就是調(diào)整老舊安全系統(tǒng)以保護(hù)現(xiàn)代化企業(yè)的一個(gè)主要示例。

幾乎所有企業(yè)都有理由擔(dān)心在線泄露問題。黑客們不僅僅會(huì)針對(duì)網(wǎng)站實(shí)施攻擊活動(dòng)，他們還會(huì)通過員工、客戶以及合作伙伴所使用的Web應(yīng)用程序漏洞來實(shí)施入侵行為。由于企業(yè)應(yīng)用程序中通常包含大量個(gè)人和企業(yè)隱私數(shù)據(jù)，因此必須部署更高級(jí)別的保護(hù)措施。

無數(shù)事實(shí)證明，在黑客入侵活動(dòng)中，Web應(yīng)用程序是造成泄露最主要的攻擊媒介。根據(jù)最新的Verizon數(shù)據(jù)泄露調(diào)查報(bào)告顯示，近一半的數(shù)據(jù)泄露事件都是由Web應(yīng)用程序漏洞利用造成的，而就Equifax數(shù)據(jù)泄露案件而言，正確部署WAF就能夠阻止此次事件的發(fā)生。

云WAF需求

傳統(tǒng)意義上來說，WAF通常作為物理的、本地部署（on-premises）工具部署在Web服務(wù)器的前面，旨在保護(hù)Web應(yīng)用和API遠(yuǎn)離內(nèi)外攻擊，尤其包括注入攻擊和應(yīng)用層拒絕服務(wù)攻擊（DoS），監(jiān)視和控制對(duì)Web應(yīng)用的訪問，以及收集訪問日志用于合規(guī)/審計(jì)和分析。WAF最常采用嵌入式部署，作為一種反向代理系統(tǒng)，因?yàn)檫^去這是執(zhí)行深入檢測工作的唯一途徑。

如今存在其他部署模式，比如透明代理或網(wǎng)橋。一些WAF還可以采用帶外部署模式（即OOB或鏡像模式），因而可處理整路的網(wǎng)絡(luò)流量。但是，并非每一項(xiàng)功能特性在所有這些部署模式下都可以發(fā)揮作用；對(duì)許多企業(yè)組織而言，反向代理是最流行的方案。近些年來，Web應(yīng)用加大了使用傳輸層安全（TLS）加密的力度――基于需要嵌入式攔截流量（中間人）才能解密的密碼套件（cipher suite），因而減少了OOB部署的數(shù)量。

如果你把自己的網(wǎng)絡(luò)想象成一個(gè)受到圍墻（即你的防火墻）保護(hù)的堡壘，那么Web應(yīng)用程序就像是這面墻上的一扇紗門——無論你已經(jīng)部署了幾層防護(hù)，只要任何一個(gè)Web應(yīng)用沒有得到合理的保護(hù)，都完全可能摧毀這一切。

隨著企業(yè)遷移至云端，應(yīng)用程序也不再托管在他們的技術(shù)架構(gòu)上。自此，他們也失去了對(duì)于應(yīng)用程序使用方式、訪問者以及進(jìn)出流量的可視性。近些年來，對(duì)于越來越多的企業(yè)而言，由廠商直接作為基于云的服務(wù)來交付的WAF（基于云的WAF服務(wù)）已成為一種更流行的方案，由最初的目標(biāo)群——中型企業(yè)——擴(kuò)大到更廣泛的企業(yè)?；谠频腤AF服務(wù)通過將更規(guī)律的安全更新、更強(qiáng)的擴(kuò)展性以及每月或每年的訂閱模式結(jié)合起來，以簡化管理實(shí)踐。

人們已經(jīng)在檢測模式中運(yùn)用了WAF很長一段時(shí)間，但是想要將其用于阻斷威脅可能還需要一段時(shí)間。因?yàn)閃AF在提供了豐富信息的同時(shí)也產(chǎn)生了大量的誤報(bào)，這引發(fā)了安全團(tuán)隊(duì)的擔(dān)憂。根據(jù)Imperva最新調(diào)查結(jié)果顯示，27%的安全團(tuán)隊(duì)每天都會(huì)收到超過100萬次的安全警報(bào)，而53%的IT專業(yè)人員正在努力將重大安全事件與誤報(bào)區(qū)分開來。

在過去的四五年間，越來越多的企業(yè)希望獲得更好的Web應(yīng)用程序支持，卻苦于缺乏相關(guān)領(lǐng)域的專業(yè)知識(shí)和人才。后來，他們開始將目光轉(zhuǎn)向日益增長的基于云的WAF市場，這些市場共享威脅數(shù)據(jù)并提供類似的支持服務(wù)，同時(shí)還能幫助企業(yè)更為輕松地實(shí)現(xiàn)部署和管理任務(wù)。

基于云VS. 本地部署WAF：區(qū)別和部署

本地部署（on-premises）和基于云的WAF之間存在一些主要差異，其中最大的差異在于其部署方式不同。本地部署WAF在數(shù)據(jù)中心運(yùn)行，或通過“基礎(chǔ)設(shè)施即服務(wù)”（IaaS）作為虛擬機(jī)運(yùn)行。而云WAF則以“軟件即服務(wù)”（SaaS）的形式出售，并通過Web界面或移動(dòng)應(yīng)用程序進(jìn)行管理。本地部署WAF需要你自行處理容量規(guī)劃和復(fù)雜性；但是使用云WAF，這些工作都是由WAF提供商進(jìn)行處理的。

雖然本地部署WAF具有開箱即用/即插即用的政策，但是管理員可以完全控制其公司的規(guī)則。本地部署系統(tǒng)更具可定制性和復(fù)雜性，讓管理員能夠調(diào)整應(yīng)用程序與WAF的交互方式。但是，這也要求企業(yè)必須對(duì)這些數(shù)據(jù)進(jìn)行監(jiān)控，確保其無法訪問。

但是，基于云的WAF卻有所不同，其安全策略是由WAF提供商根據(jù)他們對(duì)威脅情況的看法進(jìn)行預(yù)先定義的，以免客戶得到太多誤報(bào)。云WAF通常具有負(fù)載均衡，API，應(yīng)用交付規(guī)則和DDoS保護(hù)等功能。但是，客戶通常不具備對(duì)于預(yù)置WAF的細(xì)粒度訪問權(quán)限。軟件由提供者托管在數(shù)據(jù)中心中，并由提供商負(fù)責(zé)保護(hù)它們。

至于究竟要選擇本地部署WAF還是云WAF，則需要根據(jù)你的具體業(yè)務(wù)需求，以及應(yīng)用程序和數(shù)據(jù)的敏感程度進(jìn)行綜合評(píng)估。有些企業(yè)會(huì)使用混合模式，即在本地部署硬件WAF以及在公共云中部署WAF即服務(wù)模式。例如，基于云的WAF可以放置在網(wǎng)絡(luò)邊緣，因?yàn)轭A(yù)先設(shè)置的WAF能夠分析復(fù)雜的內(nèi)部威脅情況。

企業(yè)安全人員需要結(jié)合業(yè)務(wù)需求，弄清楚企業(yè)重心是否正在轉(zhuǎn)向云端，以及轉(zhuǎn)向云端的速度如何，當(dāng)明確了企業(yè)業(yè)務(wù)發(fā)展路線之后，他們就可以決定自己想要的WAF部署模式究竟是本地還是云交付的WAF。

基于云VS. 本地部署WAF優(yōu)缺點(diǎn)總結(jié)

作為網(wǎng)站運(yùn)營方，該如何選擇適合自己的WAF呢？不同形態(tài)的WAF各有各的長處，但也有各自的缺點(diǎn)：

硬件WAF優(yōu)點(diǎn)：

• 部署簡易，即插即用：硬件WAF只需串聯(lián)到交換機(jī)上，進(jìn)行簡單的配置后即可實(shí)現(xiàn)Web安全防護(hù)。

• 可承受較高的吞吐量：由于硬件防火墻基于硬件設(shè)備實(shí)現(xiàn)，一般情況下可承受較高的數(shù)據(jù)吞吐量。

• 防護(hù)范圍大：由于硬件防火墻直接串聯(lián)到了交換機(jī)，所以在同一個(gè)交換機(jī)下的所有服務(wù)器，都處于防火墻的防護(hù)范圍之類。

硬件WAF缺點(diǎn)：

• 價(jià)格昂貴：目前安全行業(yè)中的硬件WAF，價(jià)格對(duì)于中小企業(yè)來說過于昂貴，動(dòng)輒便是幾十萬甚至幾百萬。

• 存在一定誤殺：由于硬件WAF是通過攻擊規(guī)則庫對(duì)異常流量進(jìn)行識(shí)別，所以在業(yè)務(wù)系統(tǒng)復(fù)雜的情況下，可能存在一定誤殺導(dǎo)致正常功能被防火墻攔截導(dǎo)致影響正常業(yè)務(wù)。

• 存在一定繞過機(jī)率：硬件防火墻對(duì)HTTP協(xié)議進(jìn)行自行解析，可能存在與Web服務(wù)器對(duì)HTTP請求的理解不一致從而導(dǎo)致被繞過。

云WAF優(yōu)點(diǎn)：

• 部署簡單，維護(hù)成本低：這也是云WAF最有價(jià)值和受用戶喜愛的一點(diǎn)，無需安裝任何軟件或者部署任何硬件設(shè)備，只需修改DNS即可將網(wǎng)站部署到云WAF的防護(hù)范圍之內(nèi)。

• 用戶無需更新：云WAF的防護(hù)規(guī)則都處于云端，新漏洞爆發(fā)時(shí)，由云端負(fù)責(zé)規(guī)則的更新和維護(hù)，用戶無需擔(dān)心因?yàn)槭韬鰧?dǎo)致受到新型的漏洞攻擊。

• 可充當(dāng)CDN：云WAF在提供防護(hù)功能的同時(shí)，還同時(shí)具有CDN的功能，在進(jìn)行防護(hù)的同時(shí)還可以提高網(wǎng)站訪問的速率，CDN通過跨運(yùn)營商的多線智能解析調(diào)度將靜態(tài)資源動(dòng)態(tài)負(fù)載到全國的云節(jié)點(diǎn)，用戶訪問某個(gè)資源時(shí)會(huì)被引導(dǎo)至最近的云端節(jié)點(diǎn)從而提高訪問速度。

云WAF的缺點(diǎn)：

• 存在輕易被繞過的風(fēng)險(xiǎn)：云WAF的主要實(shí)現(xiàn)原理是通過將用戶的DNS解析到云節(jié)點(diǎn)實(shí)現(xiàn)防護(hù)，這樣一來，如果黑客通過相關(guān)手段獲取了服務(wù)器的真實(shí)IP地址，然后強(qiáng)制解析域名，就可以輕松繞過云WAF對(duì)服務(wù)器發(fā)起攻擊。

• 可靠性低：云WAF處理一次請求，其中需要經(jīng)過DNS解析、請求調(diào)度、流量過濾等環(huán)節(jié)，其中涉及協(xié)同關(guān)聯(lián)工作，其中只要有一個(gè)環(huán)節(jié)出現(xiàn)問題，就會(huì)導(dǎo)致網(wǎng)站無法訪問。必要時(shí)，只能手動(dòng)切換為原DNS來保證業(yè)務(wù)正常運(yùn)行，而域名解析需要一定時(shí)間，則會(huì)導(dǎo)致網(wǎng)站短時(shí)間無法正常訪問。

• 保密性低：網(wǎng)站訪問數(shù)據(jù)對(duì)于一些企業(yè)、機(jī)構(gòu)來說為保密數(shù)據(jù)，里面可能包含用戶的隱私或者商業(yè)信息，這些數(shù)據(jù)自行管控會(huì)相對(duì)安全，但是如果使用WAF，所有的數(shù)據(jù)會(huì)記錄到云端，這相當(dāng)于數(shù)據(jù)被別人保管，可能存在一定的泄露風(fēng)險(xiǎn)。

分析利弊后，我們發(fā)現(xiàn)基于云的WAF更適合安全需求較低的中小型企業(yè)或者個(gè)人網(wǎng)站，對(duì)于安全需求較高的網(wǎng)站，如政府、金融、運(yùn)營商等，云WAF可能無法滿足相關(guān)要求。對(duì)于任務(wù)密集型、基于Web的應(yīng)用程序則需要專用或硬件類型的設(shè)備。但是，具體采用哪種WAF形式并不是“一方醫(yī)百病”的問題，企業(yè)可以根據(jù)自身情況，采用更廣泛的形式以支持各種網(wǎng)絡(luò)環(huán)境需求，從而實(shí)現(xiàn)更大程度的靈活性和安全性。

你需要讓團(tuán)隊(duì)中了解安全性和應(yīng)用程序的人知道不同類型的WAF的區(qū)別和利弊，告訴他們?nèi)绾问褂迷芖AF，以及如何有效且高效地實(shí)現(xiàn)云端遷移。

主要云服務(wù)提供商開始轉(zhuǎn)移市場

公有云中的早期WAF部署必須是第三方解決方案，因?yàn)楫?dāng)時(shí)的共有云提供商并不提供任何解決方案。如今，一些主要云提供商也已經(jīng)具備了基礎(chǔ)的初級(jí)WAF服務(wù)，應(yīng)用程序團(tuán)隊(duì)正傾向于從亞馬遜和AWS處獲取解決方案。

至于具體選擇第三方解決方案還是云服務(wù)提供商的解決方案，主要取決于應(yīng)用程序的性質(zhì)和使用情況。如果你的應(yīng)用程序極易遭受攻擊，建議你可以選擇第三方虛擬WAF或WAF即服務(wù)工具，這些工具目前可以為Web應(yīng)用程序提供更好的防護(hù)。

如果該應(yīng)用程序并不是很重要，且用戶相信云提供商會(huì)進(jìn)一步完善自己的WAF服務(wù)，那么你可以選擇使用云原生（cloud-native）的工具。來自主要云服務(wù)提供商的WAF安全性尚未與第三方系統(tǒng)保持一致，但正在改善。例如，AWS已經(jīng)正在進(jìn)一步強(qiáng)化其WAF功能。第一個(gè)AWS WAF沒有簽名，但現(xiàn)在它正在構(gòu)建一個(gè)簽名數(shù)據(jù)庫。此外，亞馬遜的WAF也比較便宜：您只需按使用量付費(fèi)即可，AWS WAF會(huì)基于你部署的規(guī)則數(shù)量，以及你的Web應(yīng)用程序收到的Web請求數(shù)量定價(jià)。

專家預(yù)計(jì)，隨著時(shí)間的推移，越來越多的工作負(fù)載轉(zhuǎn)移至云端，人們對(duì)于安全性的需求日盛，市場將會(huì)依據(jù)云IaaS供應(yīng)商改善自身WAF的情況為其確立排位，最先完善其WAF的云IaaS供應(yīng)商將占據(jù)絕對(duì)的市場競爭優(yōu)勢。雖然他們的WAF服務(wù)還遠(yuǎn)趕不上第三方解決方案，但是它們的突出優(yōu)勢在于其成本要低得多。

隨著微軟和亞馬遜等主要提供商開始探索和部署WAF空間，現(xiàn)有供應(yīng)商也開始專注為其現(xiàn)有工具添加更多功能。Imperva公司最近推出了Attack Analytics，它旨在自動(dòng)化關(guān)聯(lián)和分析攻擊事件的過程，并優(yōu)先考慮最嚴(yán)重的威脅，威脅數(shù)據(jù)可以從應(yīng)用程序本地或云中提取。

專家預(yù)計(jì)，未來一年，安全管理人員可能會(huì)對(duì)開發(fā)團(tuán)隊(duì)究竟是使用云原生保護(hù)還是第三方服務(wù)提出更多質(zhì)疑，也將給與更多關(guān)注。