云時代讓W(xué)AF多了一種形式
近年來�����,云計算的繁榮推動了IT產(chǎn)業(yè)發(fā)展�����。許多企業(yè)的產(chǎn)品或服務(wù)都在與云合作“掛鉤”�����。其中�����,國內(nèi)外信息安全市場還有一個新概念�����,即“云WAF”�����。
云WAF�����,也稱WEB采用防火墻云模式�����。它是一種新的信息安全產(chǎn)品模式�����。該模式允許用戶在自己的網(wǎng)絡(luò)上安裝軟件程序或部署硬件設(shè)備�����,而無需安裝軟件程序�����。防SQL注入�����、防XSS�����、防DDOS等等,這些傳統(tǒng)WAF上存在的功能�����,云WAF同樣具備�����。從用戶的角度來看�����,云WAF它更像是一種安全服務(wù)�����,但這種服務(wù)不是人工實施的�����。
云WAF的技術(shù)實現(xiàn)
之所以叫云WAF�����,就是因為它所有的WAF該功能是通過云提供的,而不需要在本地部署產(chǎn)品�����。實現(xiàn)這一點的主要用途是DNS技術(shù)�����。
眾所周知�����,每個網(wǎng)站都有自己的域名�����、域名和域名WEB服務(wù)器的IP地址對應(yīng)�����。當(dāng)客戶瀏覽器通過域名訪問網(wǎng)站時�����,網(wǎng)站指定的網(wǎng)站將首先DNS對應(yīng)域名的服務(wù)器分析WEB服務(wù)器的IP地址�����,使客戶端能夠向服務(wù)器發(fā)出正常的訪問請求�����,然后完成一次完整的訪問請求HTTP會話�����。
云WAF利用這種機制�����。通過讓網(wǎng)站轉(zhuǎn)移域名解析權(quán)�����,實現(xiàn)網(wǎng)站的安全防護�����。
通常�����,云WAF系統(tǒng)由控制中心和端節(jié)點組成。部署控制中心DNS用于分析和調(diào)度客戶端訪問網(wǎng)站的服務(wù)器�����、調(diào)度系統(tǒng)等�����。端節(jié)點采用多個分布式部署�����,每個端節(jié)點都是獨立的硬件WAF用于過濾非法網(wǎng)站請求的設(shè)備�����。具體實現(xiàn)過程為:用戶首先需要將受保護的網(wǎng)站域名解析權(quán)移交給云WAF系統(tǒng)(使用域名修改NS記錄或CNAME記錄方式)�����。域名分析權(quán)轉(zhuǎn)移后�����,控制中心將對被保護網(wǎng)站的所有要求進行分析并調(diào)度到指定的端節(jié)點�����。流量過濾后由端節(jié)點提交給原始節(jié)點WEB服務(wù)器�����。
云WAF系統(tǒng)實現(xiàn)原理
云WAF詳細說明優(yōu)缺點:
百變不離其宗�����。分析了云WAF的實現(xiàn)原理后�����,我們發(fā)現(xiàn)�����。云WAF雖然它給網(wǎng)站保護帶來了新的模式�����。但從安全防護的手段和能力來看�����,云WAF硬件設(shè)備仍然依賴于端節(jié)點,沒有本質(zhì)的變化�����。與傳統(tǒng)硬件設(shè)備的部署相比�����,使用云WAF是好是壞�����?以下是一兩個分析�����,僅供網(wǎng)站管理者參考�����。
云WAF優(yōu)點(1):零部署�����、零維護
這也是云WAF最有價值�����,最吸引用戶的一點�����。不需要安裝任何軟件程序或部署硬件設(shè)備�����,只需切換DNS您可以將網(wǎng)站添加到云中WAF系統(tǒng)保護�����。而且�����,云WAF提供商會負責(zé)系統(tǒng)維護和保護規(guī)則庫的更新�����,管理員不必擔(dān)心網(wǎng)站可能會因為疏忽或黑客使用最新的攻擊手段而受到威脅�����。
云WAF優(yōu)點(二):提供CDN功能
網(wǎng)站訪問率是評估網(wǎng)站業(yè)務(wù)能力的重要指標(biāo)。為了提高訪問率�����,一些大型網(wǎng)站經(jīng)常使用它們CDN服務(wù)�����。大云WAF系統(tǒng)以分布式計算為基礎(chǔ)�����,采用跨運營商的多線智能分析調(diào)度�����,動態(tài)將單點網(wǎng)站資源載入全國云節(jié)點�����,引導(dǎo)用戶訪問流量進入最近的云節(jié)點�����。通過優(yōu)化壓縮要求的動態(tài)內(nèi)容�����,緩存靜態(tài)內(nèi)容分布�����,為用戶提供服務(wù)CDN提高網(wǎng)站訪問速度�����。
以上兩點�����,讓一些用戶對云WAF“一見鐘情”�����。但從更專業(yè)的角度來看�����,在這些特征背后�����,云WAF也有嚴重的問題。
云WAF缺點(一):系統(tǒng)容易繞過的風(fēng)險
眾所周知�����,本地WAF反向代理技術(shù)主要用于保護網(wǎng)站�����。隱藏真實服務(wù)器的目的是通過配置代理端口和設(shè)置地址映射規(guī)則來實現(xiàn)�����。但不同的是�����,云WAF系統(tǒng)需要依賴DNS進行訪問調(diào)度�����。網(wǎng)站的所有訪問流量僅指定DNS服務(wù)器分析后�����,會被云牽引WAF過濾系統(tǒng)的保護節(jié)點�����。這樣一來�����,如果黑客利用相關(guān)手段(具體手段在這里不做具體介紹)獲取到原始WEB服務(wù)器的IP地址�����,然后通過強制分析域名�����,可以輕松繞過云WAF系統(tǒng)攻擊原始服務(wù)器�����。
云WAF缺點(2):系統(tǒng)可靠性缺乏保證
云WAF系統(tǒng)至少需要處理一次網(wǎng)站訪問請求DNS分析�����、請求調(diào)度�����、流量過濾等環(huán)節(jié)。它涉及多個系統(tǒng)的協(xié)同關(guān)聯(lián)操作�����。只要一個環(huán)節(jié)出現(xiàn)問題�����,網(wǎng)站就無法正常訪問�����。目前云WAF該系統(tǒng)還沒有相對完善的解決此類問題的機制�����,必要時只能手動將域名解析權(quán)切換回原DNS服務(wù)器使網(wǎng)站流量不通過云WAF系統(tǒng)�����。但域名解析權(quán)切換生效需要一定的時間�����。這種方法與硬件設(shè)備相匹配Bypass顯然,與功能相比�����,效率要低得多�����。
云WAF缺點(3):網(wǎng)站訪問數(shù)據(jù)保密性低
網(wǎng)站訪問數(shù)據(jù)對一些企業(yè)和機構(gòu)來說是保密和重要的數(shù)據(jù)�����。因為它可能包含用戶隱私和市場信息�����。在本地存儲這些數(shù)據(jù)相對安全�����。然而�����,如果網(wǎng)站使用云WAF在系統(tǒng)中�����,網(wǎng)站的所有訪問數(shù)據(jù)都錄在端節(jié)點并上傳到控制中心�����,相當(dāng)于將數(shù)據(jù)交給他人保管�����,存在嚴重的泄密風(fēng)險�����。
分析利弊后�����,我們發(fā)現(xiàn)云WAF目前�����,它只適用于一些安全需求較低的中小企業(yè)網(wǎng)站或個人網(wǎng)站�����。對于政府、金融�����、運營商等安全需求較高的網(wǎng)站�����,無論從政策法規(guī)還是業(yè)務(wù)特點來看�����,云WAF不能滿足要求�����。因此�����,建議廣大網(wǎng)站管理者根據(jù)網(wǎng)站的實際情況�����,擇最合適的安全產(chǎn)品和服務(wù)�����。
騰佑科技最新推出Web防火墻云的應(yīng)用WAF服務(wù)是安全防護系統(tǒng)的專業(yè)應(yīng)用�����,有效防御SQL注入�����、XSS跨站腳本�����、后門上傳�����、非授權(quán)訪問等Web攻擊�����。詳見騰佑科技客服400-996-8756�����。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁
0371-89913000
