云WAF（Web應用防火墻）是WAF的另一種表現(xiàn)形態(tài)，它將WAF的功能在云端進行實現(xiàn)。只需要把域名的解析權交給云WAF，它就可以利用DNS調度技術，改變網(wǎng)絡流量的原始流向，將網(wǎng)絡流量牽引到云端的WAF上，云端的WAF對流量進行凈化和過濾后，將安全的流量回傳給后端真實的應用，最終達到安全過濾和保護的作用。

1、云WAF的價值

云WAF的價值主要包含以下部分。

（1）它是一種替身式防護

如果目標加入云 WAF 系統(tǒng)中，那么用戶訪問目標網(wǎng)站的數(shù)據(jù)流向就會發(fā)生改變。正常的情況如下圖：

當把域名解析權交給云WAF系統(tǒng)后，情況如下圖：

可以看到，用戶是直接與云WAF進行通信的，然后再由云WAF轉發(fā)給目標網(wǎng)站，這中間用戶并沒有直接與目標網(wǎng)站建立連接，因而它可以隱藏目標網(wǎng)站的真實IP，從而起到了替身保護的作用。

（2）它是一種虛擬化補丁

我們知道，軟件存在漏洞是不可避免的，所以軟件廠商會定期推出更新補丁。但有的軟件打補丁工作卻非常復雜，而且還會影響其穩(wěn)定性。舉個例子，比如OpenSSL，在大多數(shù)企業(yè)無法及時更新補丁，因此就有了虛擬補丁的概念。在應用程序之前設置某種類型的代理，用來控制程序的輸入和輸出，從而組織或消除攻擊行為。它在一定程度上降低了企業(yè)的安全風險，并有效降低了企業(yè)的IT運維成本。WAF可以在新補丁推出之前或無法更新補丁時，利用安全策略對攻擊流量進行過濾和凈化，從而消除特定的攻擊行為，為后續(xù)的修復和更新贏取足夠的響應時間，起到一種虛擬補丁的作用。

（3）它是一種完整性保護

云WAF在整個數(shù)據(jù)流中處于上游環(huán)節(jié)，目標所有的雙向流量都會流經(jīng)云WAF，因此它能夠保證流量或訪問請求的完整性。很多公司或企業(yè)在服務器被Web入侵后，都無法有效地對攻擊過程進行回溯和追蹤，主要原因是目標的完整性遭到了破壞，作為分析源的訪問日志會被攻擊者選擇性地擦除掉，從而導致分析人員無法獲悉完整的Web交互過程。但如果通過云WAF對訪問日志進行完整性保護，那么就能夠獲取目標完整的訪問記錄，從而進行精準的入侵回溯分析。

2、防御策略

關于防御，它其實是基于攻擊來展開的。在攻防對抗的理念中，攻擊總是優(yōu)于防御的。利用攻擊來驅動防御，在設計防御策略時，就需要牢記兩個重要的安全原則：Design For Failure和縱深防御，這里的Design For Failure是防御思想，它告訴我們沒有絕對的安全；縱深防御則是防御行為，它指導我們需要在攻擊鏈條上設置縱深，避免單點防御。綜合來說就是，首先需要對攻擊鏈條進行分解，在每個可能的環(huán)節(jié)點上設置防御，然后對這些防御點進行協(xié)同聯(lián)動，關聯(lián)阻擊，這樣才是有效的安全防御。

這里以常見的Web攻擊進行防御策略制訂，步驟如下。

1）將攻擊鏈條進行分解，如下圖：

2）運用上述防御原則，在每個環(huán)節(jié)設置防御，如下圖：

3）將這些防御點進行協(xié)同聯(lián)動、關聯(lián)處置，這樣才滿足縱深防御實踐。

現(xiàn)在再回過頭來看看WAF。WAF所處的防御點其實只是整個攻擊鏈條中的部分環(huán)節(jié)，它主要用來阻擋攻擊者對Web服務器的入侵，按照Design For Failure原則，Web服務器在防御理念中是會被攻破的。而云WAF不能感知攻破后的主機層面的攻擊行為，因此云WAF需要有縱深層面的補充。縱向層面的補充是，通過 WAF 自身的日志大數(shù)據(jù)平臺進行主動監(jiān)控和智能預判攔截；深向層面的補充是，通過WAF 后端的主機層面的監(jiān)控和防御。而且它們都可以與WAF進行聯(lián)動，只有這樣才能有效地保障Web服務器。

安全絕對不是單一產(chǎn)品或服務所能解決的，任何鼓吹絕對安全的行為都是騙人的；同樣，寄希望于一種產(chǎn)品或服務進行企業(yè)防御的行為也都是不負責任的。

總結

以上是生活随笔為你收集整理的云WAF概述的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。