Web應用已成攻擊者首要目標，以硬件設備形式實現(xiàn)的傳統(tǒng)WAF不足以提供全面的應用控制和可見性，基于云的新時代WAF可以提供足夠的Web防護，交付安全投資的真正價值。

　　目前，由于潛在變現(xiàn)機會，Web應用已成為攻擊者的首要目標。Web應用安全事件可能招致成百上千萬美元的巨大損失。域名系統(tǒng)(DNS)相關服務中斷和分布式拒絕服務(DDoS)也會對業(yè)務產(chǎn)生負面影響。眾多安全對策中，Web應用防火墻是第一道防線。

　　Web應用防火墻(WAF)的基本功能是建立一道堅實的邊界，阻止特定類型的惡意流量訪問資源。盡管上世紀90年代末就已出現(xiàn)WAF，此類初代技術已不再適合近些年來的復雜網(wǎng)絡攻擊，不足以提供全面的應用控制和可見性。隨著安全風險的不斷上升，新時代Web應用防火墻是提供恰當防護的唯一解決方案。

　　傳統(tǒng)防火墻已死，至少瀕臨死亡

　　早些時候，Web應用沒那么普遍，Web威脅也就沒有那么突出。惡意機器人程序不算很復雜，檢測簡單直接。網(wǎng)絡安全需求還非?；A，采用基本網(wǎng)絡安全管理就能妥善應對。

　　時至今日，所有這一切發(fā)生了改變。Web應用存在于本地、云端或混合環(huán)境中，客戶和雇員通過網(wǎng)絡在任意地點加以訪問。由于IP地址不斷改變，且被內(nèi)容分發(fā)網(wǎng)絡(CDN)遮蔽，防火墻無法追蹤訪問請求源自何方、去向何處，也無法確知網(wǎng)絡上正在發(fā)生什么。

　　WAF應該能抵御一系列復雜高端威脅。傳統(tǒng)WAF以硬件設備形式實現(xiàn)，不僅難以使用，還深受可見性缺乏和性能低下之苦。以至于90%的公司企業(yè)聲稱自己的WAF太過復雜了。

　　波耐蒙研究所的調查研究顯示，65%的公司企業(yè)經(jīng)歷過WAF失效，僅9%的公司企業(yè)WAF未遭突破。然而，這并不代表他們的WAF在未來永遠不會被繞過。公司企業(yè)擔心自身WAF的性能和安全不無道理。

　　圖：波耐蒙《Web應用防火墻狀態(tài)》

　　波耐蒙的研究還表明，僅40%的受訪者滿意自身現(xiàn)有WAF，也就是說他們并沒有充分發(fā)揮其功效。少數(shù)公司承認僅將WAF用于產(chǎn)生安全警報，而不是阻止可疑活動。

　　最糟的情況下，公司企業(yè)被WAF拖累，十分后悔投入如此多的資產(chǎn)卻在重要事項上毫無安全進展。于是，新時代Web應用防火墻的需求應運而生。AppTrana等新時代WAF是基于云的托管服務，更易于部署，擁有更便利的訂閱商業(yè)模式，且依托專業(yè)人才和知識持續(xù)管理安全策略，讓公司企業(yè)能夠專注自身核心專業(yè)技能，不用費心學習復雜的應用安全新技術。

　　傳統(tǒng)WAF面臨的挑戰(zhàn)

　　從傳統(tǒng)Web應用防火墻轉向下一代WAF的產(chǎn)業(yè)界人士表達了他們做出WAF切換決策的動機。大部分原因不外乎以下幾種：

　　1 技術創(chuàng)新

　　Web應用標準不斷發(fā)展變化，提高了對WAF必要功能的要求。

　　JSON有效負載和HTTP/2采納的增長令大多數(shù)Web應用防火墻供應商疲于追趕。盡管市場預期不斷創(chuàng)新，很多WAF供應商卻越來越脆弱。

　　2 缺乏擴展性

　　公司企業(yè)對網(wǎng)絡擴展的需求加劇了成本、耗時和復雜性等挑戰(zhàn)。設備集群的部署和維護變得非常復雜。

　　開發(fā)運維和敏捷方法需要持續(xù)重新配置和重新微調集群，耗干安全團隊資源。

　　3 零日漏洞利用

　　盡管能夠有效監(jiān)測Web流量以阻止特定于HTTP的攻擊，WAF卻對零日攻擊束手無策。WAF用于檢測預配置的模式，但零日漏洞可通過各種攻擊途徑加以利用，預配置的規(guī)則無法覆蓋這些途徑。

　　4 阻塞合法流量

　　大多數(shù)WAF用戶的另一個不滿之處，是傳統(tǒng)WAF會無意阻塞有效流量，也就是所謂的誤報。盡管從安全角度考慮，這似乎相對無害，但對公司企業(yè)而言卻可能是災難性的。誤報可能會阻止訪客獲取應用功能、上傳媒體或購買產(chǎn)品。

　　解決這個問題的一個潛在方法是只應用最低限度的模式，但這可能會讓網(wǎng)絡更加脆弱。大多數(shù)WAF解決方案都難以平衡這一操作。除非投入專用資源加以管理，否則很難充分發(fā)揮傳統(tǒng)WAF的效用。這就是傳統(tǒng)WAF無法滿足預期的最大缺陷。

　　5 DDoS攻擊

　　最重要的是，DDoS難題困擾WAF安裝。很多公司企業(yè)都使用WAF防止DDoS攻擊。他們選擇這么做主要是因為可以將WAF升級到具備緩解DDoS攻擊的功能。

　　然而問題在于，傳統(tǒng)WAF就不是用來抵御大規(guī)模DDoS攻擊的。而且，現(xiàn)代應用由第三方平臺共享或提供，靠本地防御層也保護不了。沒有基于云的WAF，就難以規(guī)劃前期容量，即使勉強規(guī)劃，也依然存在上限。

　　云WAF和專用托管云WAF能夠解決擴展問題。公司企業(yè)只需基于價值付費，無需為了未來可能或可能不會發(fā)生的事件支付前期固定費用。

　　了解新時代WAF的功能

　　盡管很多WAF供應商都宣稱提供下一代WAF，其實其中大部分都采用與傳統(tǒng)WAF相同的安全范式，根本不能稱之為下一代。我們需要的是真正稱得上下一代的新時代WAF。正如Indusface的AppTrana所呈現(xiàn)的，新時代WAF的基本特征包括：

　　1應用和Web使用控制

　　應用和Web使用控制能夠解決阻止哪類流量的問題。WAF采用多種標識類別來識別網(wǎng)站和網(wǎng)上應用的確切身份，確定該怎樣處理這些網(wǎng)站和應用。

　　準確的流量分類是下一代WAF的核心。這么做可以防止公司企業(yè)訪問可能導致法律問題或惡意/無關的網(wǎng)站和應用。

　　2 高級Web應用安全數(shù)據(jù)分析

　　基于云的WAF不僅能夠處理大多數(shù)Web應用正在經(jīng)歷的新興攻擊，還可穩(wěn)定提升威脅可見性和改善數(shù)據(jù)分析。如果采用傳統(tǒng)WAF，公司企業(yè)基本等于盲飛，只能期待一切都“好”，而事故總會發(fā)生。

　　WAF實時監(jiān)視性能指標，突出顯示基礎設施、應用和最終用戶的狀態(tài)?？梢孕湃蜽AF會按既定功能運行，讓用戶能在事件發(fā)生前早做準備。

　　3 Web應用安全評估和惡意軟件檢測

　　新時代防火墻很清楚：即使合法網(wǎng)站也可能無意中存在漏洞，甚至可能含有鏈向惡意站點和惡意攻擊載荷的鏈接。而且，即使知道常會含有惡意鏈接或惡意文件，公司企業(yè)有時候也會賦予社交媒體平臺訪問權。

　　AppTrana之類新時代WAF的主要好處，是能夠提供與應用風險相關的WAF策略并持續(xù)執(zhí)行。

　　4 全球威脅情報

　　基于云的安全平臺能夠利用其國際部署，維持完整的全球流量趨勢洞察。此類安全平臺監(jiān)視和分析全球所有部署的流量，只要某個位置識別出安全威脅，全球所有部署都能收到更新并響應加強防御。

　　5 自動化干預

　　基于云的WAF不僅依賴預定義的策略和特征，還提供準確的自定義風險規(guī)則托管服務。云WAF基于實時模式和行為分析持續(xù)監(jiān)視并自動過濾有效請求及惡意黑客，也提供虛擬補丁以防止漏洞利用，比如零日漏洞。

　　前瞻

　　傳統(tǒng)WAF與新時代WAF之間存在幾個關鍵差異。如果傳統(tǒng)WAF出于某種原因不敷使用，Web應用就會成為攻擊者易于得手的獵物。最佳解決辦法是選擇先進的Web防護，防止對業(yè)務運營造成負面影響?；谠频男聲r代WAF旨在提供足夠的Web防護，交付安全投資的真正價值。

　　關鍵詞：WAF;

　　聲明：本文來自數(shù)世咨詢，版權歸作者所有。文章內(nèi)容僅代表作者獨立觀點，不代表本站（網(wǎng)絡安全等級保護資訊網(wǎng)）立場，轉載目的在于傳遞更多信息。如有侵權，請聯(lián)系刪除。