首页>最新数字证书问答>云WAF概述

云WAF概述

云WAF(Web应用防火墙)是WAF的另一种表现形态,它将WAF的功能在云端进行实现。只需要把域名的解析权交给云WAF,它就可以利用DNS调度技术,改变网络流量的原始流向,将网络流量牵引到云端的WAF上,云端的WAF对流量进行净化和过滤后,将安全的流量回传给后端真实的应用,最终达到安全过滤和保护的作用。

1、云WAF的价值

云WAF的价值主要包含以下部分。

(1)它是一种替身式防护

如果目标加入云 WAF 系统中,那么用户访问目标网站的数据流向就会发生改变。正常的情况如下图:

云WAF概述 第1张

当把域名解析权交给云WAF系统后,情况如下图:

云WAF概述 第2张

可以看到,用户是直接与云WAF进行通信的,然后再由云WAF转发给目标网站,这中间用户并没有直接与目标网站建立连接,因而它可以隐藏目标网站的真实IP,从而起到了替身保护的作用。

(2)它是一种虚拟化补丁

我们知道,软件存在漏洞是不可避免的,所以软件厂商会定期推出更新补丁。但有的软件打补丁工作却非常复杂,而且还会影响其稳定性。举个例子,比如OpenSSL,在大多数企业无法及时更新补丁,因此就有了虚拟补丁的概念。在应用程序之前设置某种类型的代理,用来控制程序的输入和输出,从而组织或消除攻击行为。它在一定程度上降低了企业的安全风险,并有效降低了企业的IT运维成本。WAF可以在新补丁推出之前或无法更新补丁时,利用安全策略对攻击流量进行过滤和净化,从而消除特定的攻击行为,为后续的修复和更新赢取足够的响应时间,起到一种虚拟补丁的作用。

(3)它是一种完整性保护

云WAF在整个数据流中处于上游环节,目标所有的双向流量都会流经云WAF,因此它能够保证流量或访问请求的完整性。很多公司或企业在服务器被Web入侵后,都无法有效地对攻击过程进行回溯和追踪,主要原因是目标的完整性遭到了破坏,作为分析源的访问日志会被攻击者选择性地擦除掉,从而导致分析人员无法获悉完整的Web交互过程。但如果通过云WAF对访问日志进行完整性保护,那么就能够获取目标完整的访问记录,从而进行精准的入侵回溯分析。

2、防御策略

关于防御,它其实是基于攻击来展开的。在攻防对抗的理念中,攻击总是优于防御的。利用攻击来驱动防御,在设计防御策略时,就需要牢记两个重要的安全原则:Design For Failure和纵深防御,这里的Design For Failure是防御思想,它告诉我们没有绝对的安全;纵深防御则是防御行为,它指导我们需要在攻击链条上设置纵深,避免单点防御。综合来说就是,首先需要对攻击链条进行分解,在每个可能的环节点上设置防御,然后对这些防御点进行协同联动,关联阻击,这样才是有效的安全防御。

这里以常见的Web攻击进行防御策略制订,步骤如下。

1)将攻击链条进行分解,如下图:

云WAF概述 第3张

2)运用上述防御原则,在每个环节设置防御,如下图:

云WAF概述 第4张

3)将这些防御点进行协同联动、关联处置,这样才满足纵深防御实践。

现在再回过头来看看WAF。WAF所处的防御点其实只是整个攻击链条中的部分环节,它主要用来阻挡攻击者对Web服务器的入侵,按照Design For Failure原则,Web服务器在防御理念中是会被攻破的。而云WAF不能感知攻破后的主机层面的攻击行为,因此云WAF需要有纵深层面的补充。纵向层面的补充是,通过 WAF 自身的日志大数据平台进行主动监控和智能预判拦截;深向层面的补充是,通过WAF 后端的主机层面的监控和防御。而且它们都可以与WAF进行联动,只有这样才能有效地保障Web服务器。

安全绝对不是单一产品或服务所能解决的,任何鼓吹绝对安全的行为都是骗人的;同样,寄希望于一种产品或服务进行企业防御的行为也都是不负责任的。

最新资讯

为什么要停止使用RSA密钥交换?

什么是DNS-over-HTTPS.是如何工作的?

Apple macOS操作系统中存在三个致命漏洞

"此网站提供的安全证书不安全"的解决方法

Chrome浏览器中出现“安全连接”错误,该如何解决?

标签推荐:数字证书申请 | ssl证书验证失败 | https证书申请| 数字签名技术| 电子签名软件| ssl证书更新| 小程序证书| ca认证电子签名| 个人代码签名| 微软代码签名| 泛域名证书| java代码签名| 代码签名证书| https证书配置| PKI技术知识| SQL注入| openssl漏洞| 识别钓鱼网站