一、什么是Waf?
Waf的全拼为:Web Application Firewall,顾名思义Waf是一款专针对Web应用攻击的防护产品。当Web应用越来越丰富的同时,大部分交互都转移到了Web上,与此同时Web也成为了主要的攻击目标,此时Waf就成为了安全防护中的第一道防线,Waf在安全中的重要性不言而喻。

二、Waf形态分类
目前市面上的Waf的形态可以简单分类为三种,分别为:

硬件Web防火墙
Web防护软件
云Waf

硬件Waf通常的安装方式是将Waf串行(反向代理或透明代理)部署在Web服务器前端,用于检测、阻断异常流量。
常规硬件Waf的实现方式是通过代理技术代理来自外部的流量,并对请求包进行解析,通过安全规则库的攻击规则进行匹配,如成功匹配规则库中的规则,则识别为异常并进行请求阻断。

软件Waf则是安装在需要防护的服务器上,实现方式通常是Waf监听端口或以Web容器扩展方式进行请求检测和阻断。

云Waf是近年来随着云计算的推动衍生出来的新产品,云WAF,也称WEB应用防火墙的云模式,这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实现方式是利用DNS技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否则将请求转发至真实服务器。

三、优缺点总结
面对不同形态的Waf,那么作为网站运营方,该如何选择适合自己的Waf呢?不同形态的Waf各有各的长处,但也有各自的缺点。

硬件Waf之利(一):部署简易,即插即用
硬件Waf只需串联到交换机上,进行简单的配置后即可实现Web安全防护
硬件Waf之利(二):可承受较高的吞吐量
由于硬件防火墙基于硬件设备实现,一般情况下可承受较高的数据吞吐量
硬件Waf之利(三):防护范围大
由于硬件防火墙直接串联到了交换机,所以在同一个交换机下的所有服务器,都处于防火墙的防护范围之类

说完了优点,我们来说说弊端。

硬件Waf之弊(一):价格昂贵
目前安全行业中的硬件Waf,价格对于中小企业来说过于昂贵,动辄便是几十万甚至几百万
硬件Waf之弊(二):存在一定误杀
由于硬件Waf是通过攻击规则库对异常流量进行识别,所以在业务系统复杂的情况下,可能存在一定误杀导致正常功能被防火墙拦截导致影响正常业务
硬件Waf之弊(三):存在一定绕过几率
硬件防火墙对HTTP协议进行自行解析,可能存在与Web服务器对HTTP请求的理解不一致从而导致被绕过
以上客观描述了硬件防火墙有优缺点,欢迎补充。

我们再来看看软件Waf又有哪些优缺点。

软件Waf之利(一):开箱即用,廉价甚至免费
目前国内的软件Waf,如安全狗、网站安全卫士等皆有免费版,下载安装后简单配置即可使用。
软件Waf之利(二): 管理方便,界面友好
目前行业中的软件Waf提供友好的查看、管理界面,使得即使是非技术人员也能通过软件管理服务器的安安全状态
软件Waf之利(三):功能丰富
使用软件实现的Waf除了实现对Web应用的防护功能之外,还存在其他丰富的安全功能,如扫描恶意木马文件、防篡改、服务器优化、备份等等功能,这些功能对于不了解网站技术的人来说提供了便捷

软件Waf之弊(一):误杀&漏报特性
软件Waf对HTTP协议实现了自解析,无法和容器背后的Web应用保持对协议的理解一致,在误杀和漏报之间不能很好的平衡,解析太过细化又存在Waf可轻易被欺骗导致绕过的特点,防御太过严谨又可能会导致影响正常业务运行
软件Waf之弊(二):占用内存过多
由于软件Waf要实现对每个请求的解析、识别,可能会存在占用服务器内存过多的情况
软件Waf之弊(三):只适合中小型网站

由于软件Waf需要单台服务器部署,并且可能存在影响正常业务的风险和被绕过的风险,不适合大型的网络的安全防护使用

那么新产品,云Waf又表现如何呢?

云Waf之利(一):部署简单,维护成本低
这也是云Waf最有价值和受用户喜爱的一点,无需安装任何软件或者部署任何硬件设备,只需修改DNS即可将网站部署到云Waf的防护范围之内

云Waf之利(二):用户无需更新
云Waf的防护规则都处于云端,新漏洞爆发时,由云端负责规则的更新和维护,用户无需担心因为疏忽导致受到新型的漏洞攻击

云Waf之利(三):可充当CDN
云Waf在提供防护功能的同时,还同时具有CDN的功能,在进行防护的同时还可以提高网站访问的速率,CDN通过跨运营商的多线智能解析调度将静态资源动态负载到全国的云节点,用户访问某个资源时会被引导至最近的云端节点从而提高访问速度

以上优点,让部分用户对云Waf产生“钟爱之情”但是从安全的专业角度,云Waf同样存在一些严重的问题。

云Waf之弊(一):存在轻易被绕过的风险
云Waf的主要实现原理是通过将用户的DNS解析到云节点实现防护,这样一来,如果黑客通过相关手段获取了服务器的真实IP地址,然后强制解析域名,就可以轻松绕过云Waf对服务器发起攻击

云Waf之弊(二):可靠性低
云Waf处理一次请求,其中需要经过DNS解析、请求调度、流量过滤等环节,其中涉及协同关联工作,其中只要有一个环节出现问题,就会导致网站无法访问。必要时,只能手动切换为原DNS来保证业务正常运行,而域名解析需要一定时间,则会导致网站短时间无法正常访问

云Waf之弊(三):保密性低
网站访问数据对于一些企业、机构来说为保密数据,里面可能包含用户的隐私或者商业信息,这些数据自行管控会相对安全,但是如果使用Waf,所有的数据会记录到云端,这相当于数据被别人保管,可能存在一定的泄露风险

分析利弊后,我们发现云Waf目前只适用于安全需求较低的中小型企业或者个人网站,对于安全需求较高的网站,如政府、金融、运营商等,云Waf无法满足相关要求,所以广大网站管理者,需要根据自身实际情况来选择合适的安全产品和服务。

最后,推荐一款创新WAF产品:ShareWAF(http://www.ShareWAF.com/),其功能远超传统WAF,除了具备WAF的功能外,还有许多WAF不具备的功能,如态势感知、风控功能等等。而且同步可具有软件、云、硬件三种形态,想用云就部署在公网云服务器,想用硬件,就灌装在硬件服务器中。更值的称道的是其超高的性价比,比起动辄几十万上百万的传统WAF,ShareWAF的售价只有其几十分之一、几百分之一。如此亲民的价格,特别适合中小企业使用。