如何基于云原生安全打造全新一代WAF？

中国Web安全现状

可以看一下2019年上半年的网站安全现状，外部漏洞占整个CNVD漏洞的24.9%。另外我们整个网站的仿冒页面，包括被篡改，除了这些数据，其实还有一些等保合规，包括像一些自动化流量攻击，所有这些攻击的行为都造成整个运营安全防护的需求增长非常迅速，在一些分析机构的报告里面，其实整个应用安全防护的市场，尤其是云上应用安全防护的市场，基本上是以年100%~200%的增速在增长。

云WAF产品架构

接下来看一下我们云WAF在应用安全防护的这种架构和创新有哪些？我先简单介绍一下我们产品的架构，那传统接入、云原生接入是两种不同的接入方式。大家可以看右边，我们整个云Web应用防护的一个架构，首先是用户接入层，那这里面其实我们有这种传统的私有化的形式，然后有的形式，然后还有一种就是云原生的，相当于是我们云原生的集成到这种云的网络加速的基础设施里面，像我们的CLB、CDN，因为CLB和CDN它其实都是作为云上的一个流量入口或者基础的网络设施而存在的，那所以我们是利用他们的这种网络接入能力，把客户的流量接入进来，这个是我们的一个用户接入层。

然后核心的能力层其实更多是说我们这个WAF的一些核心功能，包括我们这里面的规则引擎，然后包括我们的基于这个用户建模、异常检测、攻击分类的AI引擎，也就是人工智能引擎。还有我们通过这种流量分析，包括我们一些预定的策略，然后进行这种自动化流量管理，去区分到底有哪些自动化的流量是 good bot，有哪些自动化的流量是bad bot，去把它进行分类、治理，去设置相应的策略，就是 good bot我们就放过，bad bot我们就进行一定的惩罚。然后还有包括像我们的自动化的CC，就是当客户遭受SCP层面的威胁时，我们可以自适应地去做一些防御。还有我们的API安全，对API的规范内容去做一些校验以及对API的这些接口的安全性提供保护。

那业务场景其实更多是我们去集成一些上层的安全功能，与此同时我们的产品还有一个协同层，我们会跟我们其他的一些安全产品，包括安全能力，比如说我们的SOC、微信情报，并且我们会跟我们的大禹，就是我们的DDoS产品去做一个联动，去完成一个纵深的防御体系。比如说我们首先在DDOS上，会有大禹先去抵挡这种大流量的攻击，再由WAF应用安全防火墙去抵御一些精细化的这种应用层的攻击。那与此同时我们会跟我们相当于是云安全的眼睛SOC，以及我们的情报去做一些整合，去把我们的日志展现出来，同时利用这些情报提供更多的能力，同时跟我们其他的一些安全产品去做一些整合，去形成一个联动的防御。

简单来说就是我们本身分三层去提供一些应急安全措施，与此同时我们再跟运营的这些安全产品去形成一个联动的防御体系，这就是我们产品简要的架构。