云WAF概述

云WAF（Web应用防火墙）是WAF的另一种表现形态，它将WAF的功能在云端进行实现。只需要把域名的解析权交给云WAF，它就可以利用DNS调度技术，改变网络流量的原始流向，将网络流量牵引到云端的WAF上，云端的WAF对流量进行净化和过滤后，将安全的流量回传给后端真实的应用，最终达到安全过滤和保护的作用。

1、云WAF的价值

云WAF的价值主要包含以下部分。

（1）它是一种替身式防护

如果目标加入云 WAF 系统中，那么用户访问目标网站的数据流向就会发生改变。正常的情况如下图：

当把域名解析权交给云WAF系统后，情况如下图：

可以看到，用户是直接与云WAF进行通信的，然后再由云WAF转发给目标网站，这中间用户并没有直接与目标网站建立连接，因而它可以隐藏目标网站的真实IP，从而起到了替身保护的作用。

（2）它是一种虚拟化补丁

我们知道，软件存在漏洞是不可避免的，所以软件厂商会定期推出更新补丁。但有的软件打补丁工作却非常复杂，而且还会影响其稳定性。举个例子，比如OpenSSL，在大多数企业无法及时更新补丁，因此就有了虚拟补丁的概念。在应用程序之前设置某种类型的代理，用来控制程序的输入和输出，从而组织或消除攻击行为。它在一定程度上降低了企业的安全风险，并有效降低了企业的IT运维成本。WAF可以在新补丁推出之前或无法更新补丁时，利用安全策略对攻击流量进行过滤和净化，从而消除特定的攻击行为，为后续的修复和更新赢取足够的响应时间，起到一种虚拟补丁的作用。

（3）它是一种完整性保护

云WAF在整个数据流中处于上游环节，目标所有的双向流量都会流经云WAF，因此它能够保证流量或访问请求的完整性。很多公司或企业在服务器被Web入侵后，都无法有效地对攻击过程进行回溯和追踪，主要原因是目标的完整性遭到了破坏，作为分析源的访问日志会被攻击者选择性地擦除掉，从而导致分析人员无法获悉完整的Web交互过程。但如果通过云WAF对访问日志进行完整性保护，那么就能够获取目标完整的访问记录，从而进行精准的入侵回溯分析。

2、防御策略

关于防御，它其实是基于攻击来展开的。在攻防对抗的理念中，攻击总是优于防御的。利用攻击来驱动防御，在设计防御策略时，就需要牢记两个重要的安全原则：Design For Failure和纵深防御，这里的Design For Failure是防御思想，它告诉我们没有绝对的安全；纵深防御则是防御行为，它指导我们需要在攻击链条上设置纵深，避免单点防御。综合来说就是，首先需要对攻击链条进行分解，在每个可能的环节点上设置防御，然后对这些防御点进行协同联动，关联阻击，这样才是有效的安全防御。

这里以常见的Web攻击进行防御策略制订，步骤如下。

1）将攻击链条进行分解，如下图：

2）运用上述防御原则，在每个环节设置防御，如下图：

3）将这些防御点进行协同联动、关联处置，这样才满足纵深防御实践。

现在再回过头来看看WAF。WAF所处的防御点其实只是整个攻击链条中的部分环节，它主要用来阻挡攻击者对Web服务器的入侵，按照Design For Failure原则，Web服务器在防御理念中是会被攻破的。而云WAF不能感知攻破后的主机层面的攻击行为，因此云WAF需要有纵深层面的补充。纵向层面的补充是，通过 WAF 自身的日志大数据平台进行主动监控和智能预判拦截；深向层面的补充是，通过WAF 后端的主机层面的监控和防御。而且它们都可以与WAF进行联动，只有这样才能有效地保障Web服务器。

安全绝对不是单一产品或服务所能解决的，任何鼓吹绝对安全的行为都是骗人的；同样，寄希望于一种产品或服务进行企业防御的行为也都是不负责任的。