为什么要换掉传统Web应用防火墙 (WAF) ？

 Web应用已成攻击者首要目标，以硬件设备形式实现的传统WAF不足以提供全面的应用控制和可见性，基于云的新时代WAF可以提供足够的Web防护，交付安全投资的真正价值。

目前，由于潜在变现机会，Web应用已成为攻击者的首要目标。Web应用安全事件可能招致成百上千万美元的巨大损失。域名系统（DNS）相关服务中断和分布式拒绝服务（DDoS）也会对业务产生负面影响。众多安全对策中，Web应用防火墙是第一道防线。

Web应用防火墙（WAF）的基本功能是建立一道坚实的边界，阻止特定类型的恶意流量访问资源。尽管上世纪90年代末就已出现WAF，此类初代技术已不再适合近些年来的复杂网络攻击，不足以提供全面的应用控制和可见性。随着安全风险的不断上升，新时代Web应用防火墙是提供恰当防护的唯一解决方案。

传统防火墙已死，至少濒临死亡

早些时候，Web应用没那么普遍，Web威胁也就没有那么突出。恶意机器人程序不算很复杂，检测简单直接。网络安全需求还非常基础，采用基本网络安全管理就能妥善应对。

时至今日，所有这一切发生了改变。Web应用存在于本地、云端或混合环境中，客户和雇员通过网络在任意地点加以访问。由于IP地址不断改变，且被内容分发网络（CDN）遮蔽，防火墙无法追踪访问请求源自何方、去向何处，也无法确知网络上正在发生什么。

WAF应该能抵御一系列复杂高端威胁。传统WAF以硬件设备形式实现，不仅难以使用，还深受可见性缺乏和性能低下之苦。以至于90%的公司企业声称自己的WAF太过复杂了。最糟的情况下，公司企业被WAF拖累，十分后悔投入如此多的资产却在重要事项上毫无安全进展。于是，新时代Web应用防火墙的需求应运而生。AppTrana等新时代WAF是基于云的托管服务，更易于部署，拥有更便利的订阅商业模式，且依托专业人才和知识持续管理安全策略，让公司企业能够专注自身核心专业技能，不用费心学习复杂的应用安全新技术。

传统WAF面临的挑战

从传统Web应用防火墙转向下一代WAF的产业界人士表达了他们做出WAF切换决策的动机。大部分原因不外乎以下几种：

1. 技术创新

Web应用标准不断发展变化，提高了对WAF必要功能的要求。

JSON有效负载和HTTP/2采纳的增长令大多数Web应用防火墙供应商疲于追赶。尽管市场预期不断创新，很多WAF供应商却越来越脆弱。

2. 缺乏扩展性

公司企业对网络扩展的需求加剧了成本、耗时和复杂性等挑战。设备集群的部署和维护变得非常复杂。

开发运维和敏捷方法需要持续重新配置和重新微调集群，耗干安全团队资源。

3. 零日漏洞利用

尽管能够有效监测Web流量以阻止特定于HTTP的攻击，WAF却对零日攻击束手无策。WAF用于检测预配置的模式，但零日漏洞可通过各种攻击途径加以利用，预配置的规则无法覆盖这些途径。

4. 阻塞合法流量

大多数WAF用户的另一个不满之处，是传统WAF会无意阻塞有效流量，也就是所谓的误报。尽管从安全角度考虑，这似乎相对无害，但对公司企业而言却可能是灾难性的。误报可能会阻止访客获取应用功能、上传媒体或购买产品。

解决这个问题的一个潜在方法是只应用最低限度的模式，但这可能会让网络更加脆弱。大多数WAF解决方案都难以平衡这一操作。除非投入专用资源加以管理，否则很难充分发挥传统WAF的效用。这就是传统WAF无法满足预期的最大缺陷。

5. DDoS攻击

最重要的是，DDoS难题困扰WAF安装。很多公司企业都使用WAF防止DDoS攻击。他们选择这么做主要是因为可以将WAF升级到具备缓解DDoS攻击的功能。

然而问题在于，传统WAF就不是用来抵御大规模DDoS攻击的。而且，现代应用由第三方平台共享或提供，靠本地防御层也保护不了。没有基于云的WAF，就难以规划前期容量，即使勉强规划，也依然存在上限。

云WAF和专用托管云WAF能够解决扩展问题。公司企业只需基于价值付费，无需为了未来可能或可能不会发生的事件支付前期固定费用。

了解新时代WAF的功能

尽管很多WAF供应商都宣称提供下一代WAF，其实其中大部分都采用与传统WAF相同的安全范式，根本不能称之为下一代。我们需要的是真正称得上下一代的新时代WAF。正如Indusface的AppTrana所呈现的，新时代WAF的基本特征包括：

1. 应用和Web使用控制

应用和Web使用控制能够解决阻止哪类流量的问题。WAF采用多种标识类别来识别网站和网上应用的确切身份，确定该怎样处理这些网站和应用。

准确的流量分类是下一代WAF的核心。这么做可以防止公司企业访问可能导致法律问题或恶意/无关的网站和应用。

2. 高级Web应用安全数据分析

基于云的WAF不仅能够处理大多数Web应用正在经历的新兴攻击，还可稳定提升威胁可见性和改善数据分析。如果采用传统WAF，公司企业基本等于盲飞，只能期待一切都“好”，而事故总会发生。

WAF实时监视性能指标，突出显示基础设施、应用和最终用户的状态。可以信任WAF会按既定功能运行，让用户能在事件发生前早做准备。

3. Web应用安全评估和恶意软件检测

新时代防火墙很清楚：即使合法网站也可能无意中存在漏洞，甚至可能含有链向恶意站点和恶意攻击载荷的链接。而且，即使知道常会含有恶意链接或恶意文件，公司企业有时候也会赋予社交媒体平台访问权。

AppTrana之类新时代WAF的主要好处，是能够提供与应用风险相关的WAF策略并持续执行。

4. 全球威胁情报

基于云的安全平台能够利用其国际部署，维持完整的全球流量趋势洞察。此类安全平台监视和分析全球所有部署的流量，只要某个位置识别出安全威胁，全球所有部署都能收到更新并响应加强防御。

5. 自动化干预

基于云的WAF不仅依赖预定义的策略和特征，还提供准确的自定义风险规则托管服务。云WAF基于实时模式和行为分析持续监视并自动过滤有效请求及恶意黑客，也提供虚拟补丁以防止漏洞利用，比如零日漏洞。

亚洲云海 业务升级 www.myasiacloud.com/clouddf (超级CC防御 秒级攻击防御 多重高防CDN守护您的网络。戳咨询 @myasiacloud66