- 2022-07-28
- 阅读()
- 来源:互联数据
什么是云Waf?我们都知道Waf的全拼为:Web Application Firewall,顾名思义Waf是一款专针对Web应用攻击的防护产品。当Web应用越来越丰富的同时,大部分交互都转移到了Web上,与此同时Web也成为了主要的攻击目标,此时Waf就成为了安全防护中的第一道防线,Waf在安全中的重要性不言而喻。
而云Waf是近年来随着云计算的推动衍生出来的新产品,简单的说,云WAF,是web应用防火墙的云模式,这种模式让用户不需要在自己的网络中安装软件WAF或部署硬件WAF,就可以对网站实施安全防护。防SQL注入、防XSS、防CC攻击、防webshell上传、防篡改、防盗链等,这些传统WAF上存在的功能,云WAF同样具备。从用户的角度来看,云WAF就像是一种安全服务。
如何实现云WAF?
之所以称之为云WAF,就是因为它所有的WAF功能都是通过云端提供的,而不需要在本地部署产品。云WAF的达成,主要利用的就是DNS技术。
众所周知,每个网站都有自己的域名,域名与web服务器的IP地址相对应。当客户端浏览器通过域名访问网站时,首先会由网站指定的DNS服务器解析出域名所对应的web服务器的IP地址,这样客户端才能向服务器发起正常的访问请求,进而完成一次完整的HTTP会话。
云WAF正是利用这项机制。通过让网站移交域名解析权的方式,实现对网站的安全防护。
通常情况下,云WAF系统由控制中心及端节点两大部分组成。控制中心部署有DNS服务器、调度系统等,用来解析并调度客户端对网站的访问请求。端节点采用多台分布式部署,每一个端节点都是一台独立的硬件WAF设备,用来过滤非法的网站请求。
具体实现过程为:用户首先需要将被保护的网站域名解析权移交给云WAF系统(采用修改域名NS记录或CNAME记录的方式)。域名解析权移交完成后,所有对被保护网站的请求,将会被控制中心解析并调度到指定的端节点上(当然,在这个过程中,云WAF会过滤攻击威胁)。由端节点进行流量过滤后,再递交给原始的WEB服务器。
云WAF的一些优势
1、零部署,零维护:这是云WAF最有价值,最为吸引用户的一点。不需要安装任何软件程序或部署硬件设备,只需切换DNS就可以将网站加入到云WAF系统的防护中。而且,云WAF提供商会负责系统维护及防护规则库的更新,管理员不必担心可能会因为疏忽或者黑客使用最新的攻击手段而使网站受到威胁。
2、用户无需更新:云WAF的防护规则都处于云端,新漏洞爆发时,由云端负责规则的更新和维护,用户无需担心因为疏忽导致受到新型的漏洞攻击。
3、提供CDN功能:网站访问速率是评估一个网站业务能力的重要指标。一些大型的网站为了提升访问速率,往往会使用CDN服务。规模较大的云WAF系统都是以分布式计算为基础架构,采用跨运营商的多线智能解析调度,将单点网站资源动态负载至全国的云端节点,用户访问流量被引导至最近的云端节点。并且通过对请求的动态内容优化压缩,静态内容分布缓存,为用户提供CDN服务,提升网站的访问速度。
云WAF的不足之处
1)泄露信息的风险:我们都知道一个企业的数据对于企业来讲是非常重要的东西,里面可能包含用户的隐私或者商业信息,因此这样的数据就不能泄露,如果使用云Waf,所有的数据会记录到云端,这相当于数据被别人保管,可能存在泄露信息的风险,其实对于这种涉及隐私的数据还是人为管控会相对安全些。
2)容易被忽略的风险:为什么这样说呢?因为云Waf主要是将用户的DNS解析到云节点来实现防护的,一旦有黑客利用某些手段获取了真实的IP地址,然后再强制解析,那就很容易直接忽略云Waf受到攻击了。
3)不稳定性因素高
云Waf处理一次请求,其中需要经过DNS解析、请求调度、流量过滤等环节,其中涉及协同关联工作,只要有一个环节出现问题,就会导致网站无法访问。必要时,只能手动切换为原DNS来保证业务正常运行,而域名解析需要一定时间,则会导致网站短时间无法正常访问。
综上所述,我们发现云Waf目前只适用于安全需求较低的中小型企业或者个人网站,对于安全需求较高的网站,如政府、金融、运营商等,云Waf无法满足相关要求,所以广大网站管理者,需要根据自身实际情况来选择合适的安全产品和服务。