云時(shí)代讓W(xué)AF多了一種形式
近年來,云計(jì)算的繁榮推動(dòng)了IT產(chǎn)業(yè)發(fā)展�。許多企業(yè)的產(chǎn)品或服務(wù)都在與云合作“掛鉤”。其中��,國(guó)內(nèi)外信息安全市場(chǎng)還有一個(gè)新概念�,即“云WAF”。
云WAF���,也稱WEB采用防火墻云模式�。它是一種新的信息安全產(chǎn)品模式。該模式允許用戶在自己的網(wǎng)絡(luò)上安裝軟件程序或部署硬件設(shè)備���,而無需安裝軟件程序��。防SQL注入�����、防XSS���、防DDOS等等,這些傳統(tǒng)WAF上存在的功能����,云WAF同樣具備。從用戶的角度來看���,云WAF它更像是一種安全服務(wù)����,但這種服務(wù)不是人工實(shí)施的��。
云WAF的技術(shù)實(shí)現(xiàn)
之所以叫云WAF,就是因?yàn)樗械腤AF該功能是通過云提供的�,而不需要在本地部署產(chǎn)品����。實(shí)現(xiàn)這一點(diǎn)的主要用途是DNS技術(shù)。
眾所周知�,每個(gè)網(wǎng)站都有自己的域名、域名和域名WEB服務(wù)器的IP地址對(duì)應(yīng)����。當(dāng)客戶瀏覽器通過域名訪問網(wǎng)站時(shí),網(wǎng)站指定的網(wǎng)站將首先DNS對(duì)應(yīng)域名的服務(wù)器分析WEB服務(wù)器的IP地址�,使客戶端能夠向服務(wù)器發(fā)出正常的訪問請(qǐng)求,然后完成一次完整的訪問請(qǐng)求HTTP會(huì)話�����。
云WAF利用這種機(jī)制�。通過讓網(wǎng)站轉(zhuǎn)移域名解析權(quán),實(shí)現(xiàn)網(wǎng)站的安全防護(hù)�����。
通常�,云WAF系統(tǒng)由控制中心和端節(jié)點(diǎn)組成����。部署控制中心DNS用于分析和調(diào)度客戶端訪問網(wǎng)站的服務(wù)器����、調(diào)度系統(tǒng)等。端節(jié)點(diǎn)采用多個(gè)分布式部署���,每個(gè)端節(jié)點(diǎn)都是獨(dú)立的硬件WAF用于過濾非法網(wǎng)站請(qǐng)求的設(shè)備��。具體實(shí)現(xiàn)過程為:用戶首先需要將受保護(hù)的網(wǎng)站域名解析權(quán)移交給云WAF系統(tǒng)(使用域名修改NS記錄或CNAME記錄方式)��。域名分析權(quán)轉(zhuǎn)移后��,控制中心將對(duì)被保護(hù)網(wǎng)站的所有要求進(jìn)行分析并調(diào)度到指定的端節(jié)點(diǎn)����。流量過濾后由端節(jié)點(diǎn)提交給原始節(jié)點(diǎn)WEB服務(wù)器��。
云WAF系統(tǒng)實(shí)現(xiàn)原理
云WAF詳細(xì)說明優(yōu)缺點(diǎn):
百變不離其宗���。分析了云WAF的實(shí)現(xiàn)原理后��,我們發(fā)現(xiàn)�����。云WAF雖然它給網(wǎng)站保護(hù)帶來了新的模式��。但從安全防護(hù)的手段和能力來看���,云WAF硬件設(shè)備仍然依賴于端節(jié)點(diǎn),沒有本質(zhì)的變化��。與傳統(tǒng)硬件設(shè)備的部署相比���,使用云WAF是好是壞�����?以下是一兩個(gè)分析,僅供網(wǎng)站管理者參考。
云WAF優(yōu)點(diǎn)(1):零部署�����、零維護(hù)
這也是云WAF最有價(jià)值�,最吸引用戶的一點(diǎn)。不需要安裝任何軟件程序或部署硬件設(shè)備���,只需切換DNS您可以將網(wǎng)站添加到云中WAF系統(tǒng)保護(hù)����。而且,云WAF提供商會(huì)負(fù)責(zé)系統(tǒng)維護(hù)和保護(hù)規(guī)則庫(kù)的更新����,管理員不必?fù)?dān)心網(wǎng)站可能會(huì)因?yàn)槭韬龌蚝诳褪褂米钚碌墓羰侄味艿酵{。
云WAF優(yōu)點(diǎn)(二):提供CDN功能
網(wǎng)站訪問率是評(píng)估網(wǎng)站業(yè)務(wù)能力的重要指標(biāo)�。為了提高訪問率,一些大型網(wǎng)站經(jīng)常使用它們CDN服務(wù)�。大云WAF系統(tǒng)以分布式計(jì)算為基礎(chǔ),采用跨運(yùn)營(yíng)商的多線智能分析調(diào)度���,動(dòng)態(tài)將單點(diǎn)網(wǎng)站資源載入全國(guó)云節(jié)點(diǎn)���,引導(dǎo)用戶訪問流量進(jìn)入最近的云節(jié)點(diǎn)。通過優(yōu)化壓縮要求的動(dòng)態(tài)內(nèi)容�,緩存靜態(tài)內(nèi)容分布,為用戶提供服務(wù)CDN提高網(wǎng)站訪問速度�����。
以上兩點(diǎn),讓一些用戶對(duì)云WAF“一見鐘情”�。但從更專業(yè)的角度來看,在這些特征背后����,云WAF也有嚴(yán)重的問題。
云WAF缺點(diǎn)(一):系統(tǒng)容易繞過的風(fēng)險(xiǎn)
眾所周知��,本地WAF反向代理技術(shù)主要用于保護(hù)網(wǎng)站�。隱藏真實(shí)服務(wù)器的目的是通過配置代理端口和設(shè)置地址映射規(guī)則來實(shí)現(xiàn)。但不同的是����,云WAF系統(tǒng)需要依賴DNS進(jìn)行訪問調(diào)度�。網(wǎng)站的所有訪問流量?jī)H指定DNS服務(wù)器分析后,會(huì)被云牽引WAF過濾系統(tǒng)的保護(hù)節(jié)點(diǎn)�����。這樣一來����,如果黑客利用相關(guān)手段(具體手段在這里不做具體介紹)獲取到原始WEB服務(wù)器的IP地址,然后通過強(qiáng)制分析域名����,可以輕松繞過云WAF系統(tǒng)攻擊原始服務(wù)器����。
云WAF缺點(diǎn)(2):系統(tǒng)可靠性缺乏保證
云WAF系統(tǒng)至少需要處理一次網(wǎng)站訪問請(qǐng)求DNS分析����、請(qǐng)求調(diào)度、流量過濾等環(huán)節(jié)��。它涉及多個(gè)系統(tǒng)的協(xié)同關(guān)聯(lián)操作����。只要一個(gè)環(huán)節(jié)出現(xiàn)問題,網(wǎng)站就無法正常訪問����。目前云WAF該系統(tǒng)還沒有相對(duì)完善的解決此類問題的機(jī)制,必要時(shí)只能手動(dòng)將域名解析權(quán)切換回原DNS服務(wù)器使網(wǎng)站流量不通過云WAF系統(tǒng)�����。但域名解析權(quán)切換生效需要一定的時(shí)間��。這種方法與硬件設(shè)備相匹配Bypass顯然����,與功能相比����,效率要低得多�。
云WAF缺點(diǎn)(3):網(wǎng)站訪問數(shù)據(jù)保密性低
網(wǎng)站訪問數(shù)據(jù)對(duì)一些企業(yè)和機(jī)構(gòu)來說是保密和重要的數(shù)據(jù)。因?yàn)樗赡馨脩綦[私和市場(chǎng)信息����。在本地存儲(chǔ)這些數(shù)據(jù)相對(duì)安全。然而����,如果網(wǎng)站使用云WAF在系統(tǒng)中,網(wǎng)站的所有訪問數(shù)據(jù)都錄在端節(jié)點(diǎn)并上傳到控制中心�,相當(dāng)于將數(shù)據(jù)交給他人保管,存在嚴(yán)重的泄密風(fēng)險(xiǎn)�。
分析利弊后��,我們發(fā)現(xiàn)云WAF目前�,它只適用于一些安全需求較低的中小企業(yè)網(wǎng)站或個(gè)人網(wǎng)站。對(duì)于政府�����、金融、運(yùn)營(yíng)商等安全需求較高的網(wǎng)站����,無論從政策法規(guī)還是業(yè)務(wù)特點(diǎn)來看,云WAF不能滿足要求�。因此,建議廣大網(wǎng)站管理者根據(jù)網(wǎng)站的實(shí)際情況���,擇最合適的安全產(chǎn)品和服務(wù)�����。
騰佑科技最新推出Web防火墻云的應(yīng)用WAF服務(wù)是安全防護(hù)系統(tǒng)的專業(yè)應(yīng)用��,有效防御SQL注入�、XSS跨站腳本�����、后門上傳�����、非授權(quán)訪問等Web攻擊���。詳見騰佑科技客服400-996-8756�����。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁(yè)
0371-89913000
