云時(shí)代讓W(xué)AF多了一種形態(tài)

近年來(lái)，云計(jì)算的熱潮推動(dòng)著IT行業(yè)的發(fā)展。很多企業(yè)的產(chǎn)品或服務(wù)都在盡力與云“掛鉤”。其中，在國(guó)內(nèi)外信息安全市場(chǎng)中，也多了一個(gè)新的概念，就是“云WAF”。

云WAF，也稱WEB應(yīng)用防火墻的云模式。它是一種全新的信息安全產(chǎn)品模式。這種模式讓用戶不需要在自己的網(wǎng)絡(luò)中安裝軟件程序或部署硬件設(shè)備，就可以對(duì)網(wǎng)站實(shí)施安全防護(hù)。防SQL注入、防XSS、防DDOS等，這些傳統(tǒng)WAF上存在的功能，云WAF同樣具備。從用戶的角度來(lái)看，云WAF更像是一種安全服務(wù)，只不過(guò)這種服務(wù)并非是通過(guò)人工來(lái)實(shí)施的。

云WAF的技術(shù)實(shí)現(xiàn)

之所以稱之為云WAF，就是因?yàn)樗�所有的WAF功能都是通過(guò)云端提供的，而不需要在本地部署產(chǎn)品。實(shí)現(xiàn)這點(diǎn)主要利用的就是DNS技術(shù)。

眾所周知，每個(gè)網(wǎng)站都有自己的域名，域名與WEB服務(wù)器的IP地址相對(duì)應(yīng)。當(dāng)客戶端瀏覽器通過(guò)域名訪問(wèn)網(wǎng)站時(shí)，首先會(huì)由網(wǎng)站指定的DNS服務(wù)器解析出域名所對(duì)應(yīng)的WEB服務(wù)器的IP地址，這樣客戶端才能向服務(wù)器發(fā)起正常的訪問(wèn)請(qǐng)求，進(jìn)而完成一次完整的HTTP會(huì)話。

云WAF正是利用這項(xiàng)機(jī)制。通過(guò)讓網(wǎng)站移交域名解析權(quán)的方式，實(shí)現(xiàn)對(duì)網(wǎng)站的安全防護(hù)。

通常情況下，云WAF系統(tǒng)由控制中心及端節(jié)點(diǎn)兩大部分組成。控制中心部署有DNS服務(wù)器、調(diào)度系統(tǒng)等，用來(lái)解析并調(diào)度客戶端對(duì)網(wǎng)站的訪問(wèn)請(qǐng)求。端節(jié)點(diǎn)采用多臺(tái)分布式部署，每一個(gè)端節(jié)點(diǎn)都是一臺(tái)獨(dú)立的硬件WAF設(shè)備，用來(lái)過(guò)濾非法的網(wǎng)站請(qǐng)求。具體實(shí)現(xiàn)過(guò)程為：用戶首先需要將被保護(hù)的網(wǎng)站域名解析權(quán)移交給云WAF系統(tǒng)(采用修改域名NS記錄或CNAME記錄的方式)。域名解析權(quán)移交完成后，所有對(duì)被保護(hù)網(wǎng)站的請(qǐng)求，將會(huì)被控制中心解析并調(diào)度到指定的端節(jié)點(diǎn)上。由端節(jié)點(diǎn)進(jìn)行流量過(guò)濾后，再遞交給原始的WEB服務(wù)器。

云WAF系統(tǒng)實(shí)現(xiàn)原理

云WAF帶來(lái)的優(yōu)勢(shì)與劣勢(shì)詳解：

百變不離其宗。分析了云WAF的實(shí)現(xiàn)原理后，我們發(fā)現(xiàn)。云WAF的出現(xiàn)，雖然給網(wǎng)站防護(hù)帶來(lái)了一種新的模式。但是從安全防護(hù)的手段及能力上來(lái)看，云WAF仍然是依賴于端節(jié)點(diǎn)的硬件設(shè)備，并沒(méi)有本質(zhì)性的改變。那么，與部署傳統(tǒng)的硬件設(shè)備相比，使用云WAF究竟帶來(lái)的是利還是弊?下面就來(lái)分析一二，僅供廣大網(wǎng)站管理者們參考。

云WAF優(yōu)勢(shì)(一)：零部署，零維護(hù)

這也是云WAF最有價(jià)值，最為吸引用戶的一點(diǎn)。不需要安裝任何軟件程序或部署硬件設(shè)備，只需切換DNS就可以將網(wǎng)站加入到云WAF系統(tǒng)的防護(hù)中。而且，云WAF提供商會(huì)負(fù)責(zé)系統(tǒng)維護(hù)及防護(hù)規(guī)則庫(kù)的更新，管理員不必?fù)?dān)心可能會(huì)因?yàn)槭韬龌蛘吆诳褪褂米钚碌墓�擊手段而使網(wǎng)站受到威脅。

云WAF優(yōu)勢(shì)(二)：提供CDN功能

網(wǎng)站訪問(wèn)速率是評(píng)估一個(gè)網(wǎng)站業(yè)務(wù)能力的重要指標(biāo)。一些大型的網(wǎng)站為了提升訪問(wèn)速率，往往會(huì)使用CDN服務(wù)。規(guī)模較大的云WAF系統(tǒng)都是以分布式計(jì)算為基礎(chǔ)架構(gòu)，采用跨運(yùn)營(yíng)商的多線智能解析調(diào)度，將單點(diǎn)網(wǎng)站資源動(dòng)態(tài)負(fù)載至全國(guó)的云端節(jié)點(diǎn)，用戶訪問(wèn)流量被引導(dǎo)至最近的云端節(jié)點(diǎn)。并且通過(guò)對(duì)請(qǐng)求的動(dòng)態(tài)內(nèi)容優(yōu)化壓縮，靜態(tài)內(nèi)容分布緩存，為用戶提供CDN服務(wù)，提升網(wǎng)站的訪問(wèn)速度。

以上兩點(diǎn)，讓部分用戶對(duì)云WAF“一見(jiàn)鐘情”。但是從更專業(yè)的角度考量，在這些特性背后，云WAF同樣存在著嚴(yán)重的問(wèn)題。

云WAF的劣勢(shì)(一)：系統(tǒng)存在被輕易繞過(guò)的風(fēng)險(xiǎn)

眾所周知，本地WAF對(duì)網(wǎng)站實(shí)施保護(hù)，主要采用的是反向代理技術(shù)。通過(guò)配置代理端口并設(shè)定地址映射規(guī)則，達(dá)到隱藏真實(shí)服務(wù)器的目的。然而不同的是，云WAF系統(tǒng)需要依賴于DNS進(jìn)行訪問(wèn)調(diào)度。網(wǎng)站的所有訪問(wèn)流量只有經(jīng)過(guò)指定的DNS服務(wù)器解析后才會(huì)被牽引到云WAF系統(tǒng)的防護(hù)節(jié)點(diǎn)進(jìn)行過(guò)濾。這樣一來(lái)，如果黑客利用相關(guān)手段(具體手段在這里不做具體介紹)獲取到原始WEB服務(wù)器的IP地址，然后通過(guò)強(qiáng)制解析域名的方式，就可以輕松的繞過(guò)云WAF系統(tǒng)對(duì)原始服務(wù)器實(shí)施攻擊。

云WAF的劣勢(shì)(二)：系統(tǒng)的可靠性欠缺保障

云WAF系統(tǒng)處理一次網(wǎng)站訪問(wèn)請(qǐng)求，至少需要經(jīng)過(guò)DNS解析、請(qǐng)求調(diào)度、流量過(guò)濾等環(huán)節(jié)。其中涉及多個(gè)系統(tǒng)的協(xié)同關(guān)聯(lián)作業(yè)。只要有一個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題，就會(huì)導(dǎo)致網(wǎng)站無(wú)法正常訪問(wèn)。目前云WAF系統(tǒng)還沒(méi)有相對(duì)完善的機(jī)制解決此類問(wèn)題，必要時(shí)只能手動(dòng)將域名解析權(quán)切換回原DNS服務(wù)器，使得網(wǎng)站流量不經(jīng)過(guò)云WAF系統(tǒng)。但是域名解析權(quán)切換生效是需要一定的時(shí)間。這種方式與硬件設(shè)備的Bypass功能相比，顯然效率會(huì)低很多。

云WAF的劣勢(shì)(三)：網(wǎng)站訪問(wèn)數(shù)據(jù)的保密性較低

網(wǎng)站訪問(wèn)數(shù)據(jù)對(duì)于一些企業(yè)機(jī)構(gòu)來(lái)說(shuō)是保密且重要的數(shù)據(jù)。因?yàn)槔锩婵赡馨�含了用戶的隱私以及市場(chǎng)信息。把這些數(shù)據(jù)存儲(chǔ)在本地自己管控相對(duì)會(huì)比較安全。但是，如果網(wǎng)站使用了云WAF系統(tǒng)，網(wǎng)站的所有訪問(wèn)數(shù)據(jù)都會(huì)被記錄在端節(jié)點(diǎn)并上傳到控制中心，相當(dāng)于把數(shù)據(jù)交給了別人保管，會(huì)存在嚴(yán)重的泄密風(fēng)險(xiǎn)。

分析利弊后，我們發(fā)現(xiàn)，云WAF目前還只適用于一些安全需求較低的中小企業(yè)網(wǎng)站或個(gè)人網(wǎng)站。對(duì)于一些安全需求較高的網(wǎng)站，像政府、金融、運(yùn)營(yíng)商等，無(wú)論從政策法規(guī)上還是業(yè)務(wù)特性上看，云WAF都無(wú)法滿足要求。所以建議廣大網(wǎng)站管理者，需要根據(jù)網(wǎng)站的實(shí)際情況，明確需求，選擇最為合適的安全產(chǎn)品和服務(wù)。

天下數(shù)據(jù)最新推出的Web應(yīng)用防火墻云WAF服務(wù)是一款專業(yè)應(yīng)用安全防護(hù)系統(tǒng)，有效防御SQL注入、XSS跨站腳本、后門上傳、非授權(quán)訪問(wèn)等各種常見(jiàn)Web攻擊。詳詢天下數(shù)據(jù)客服400-6388-808。

本文鏈接：http://m.51huadong.com/cloundnews/11003366.html