云WAF调研

定义：

WAF的全拼为：Web Application Firewall，顾名思义WAF是一款针对web端的防火墙产品。目前WAF有三种形态：硬件WAF、软件WAF、云WAF；

硬件WAF：需要安装硬件防护，将waf串行在web服务器前端，用户阻断、检测异常流量。常规硬件Waf的实现方式是通过代理来自外部的流量，并对请求包进行解析，通过安全规则库的攻击规则进行匹配，如成功匹配规则库中的规则，则识别为异常并进行请求阻断。

软件WAF：安装在需要防护的服务器上，实现方式通常是Waf监听端口或以Web容器扩展方式进行请求检测和阻断。

云WAF：WEB应用防火墙的云模式，这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护，它的主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器。

WAF产品现状分析：

越来越多的网站需要用到WAF的防护，随着互联网和移动互联网技术的快速发展，各类网站和Web应用近年呈现爆发式的增长，Web应用平台已经在电子政务、电子商务等领域得到广泛的应用，以实现协同办公和社会性网络服务等目的。

由于网络技术的日益成熟，黑客也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。根据 Gartner 的调查报告显示，信息安全攻击有 70% 都是发生在 Web 应用层而非网络层面上，同时数据也显示2/3的Web站点都相当脆弱，易受攻击。绝大多数企业将大量的投资花费在网络和服务器的安全上，通常在网络中会部署防火墙、IPS、防病毒等安全产品，但是这类产品对于Http和Https的Web应用层攻击往往无法检测，没有从真正意义上保证 Web 业务本身的安全，才给黑客可乘之机，导致Web应用成为黑客的主要攻击目标。

市场趋势

未来云WAF将成为主流

目前随着企业上云，万物上云 ，云WAF形态逐渐替代传统的硬件WAF，根据freebuf安全媒体研究报告显示，云WAF占比甚至超过了传统的硬件WAF跃升为第一位，达到39.4%。阿里云、腾讯云、360磐云、深信服云WAF、Imperva WAF是这类WAF的典型代表。

业务场景和产品核心功能

综合国内多款主流WAF产品介绍及实地考察研究，其使用场景主要有：

1、精准访问控制

明确定义和限制信息系统用户能够对资源执行的访问操作，因此可以有效提供对信息资源的机密性和完整性保护。

2、Web漏洞攻击防护

恶意访问者通过SQL注入、XSS、远程命令执行等手段，入侵网站数据库，窃取业务数据或其他敏感信息。

3、CC攻击防护

网站被发起大量的恶意请求，长时间占用核心资源，导致网站业务响应缓慢或无法正常提供服务。

4、0day漏洞缓解

第三方框架或插件爆发0day漏洞时，需要通过下发虚拟补丁，第一时间防护由漏洞可能产生的攻击；

综合以上来看，一款合格的WAF通常应具备以下功能：

1、HTTP、HTTPS协议的解析和过滤，如协议不同版本的识别和解析、协议参数长度限制等；

2、各类Web攻击防护，如：SQL注入、XSS跨站、CSRF、网页后门等；

3、各类自动化攻击防护，如：暴力破解、撞库、批量注册、自动发贴等；

4、阻止其它常见威胁，如：爬虫、0day攻击、代码分析、嗅探、数据篡改、越权访问、敏感信息泄漏、应用层DDoS、远程恶意包含、盗链、越权、扫描等；

5、其他管理与审计，如安全配置、日志分析、报表与统计功能等。