為什么要換掉傳統 Web 應用防火墻（WAF）？

目前，由于潛在變現機會，Web應用已成為攻擊者的首要目標。Web應用安全事件可能招致成百上千萬美元的巨大損失。域名系統（DNS）相關服務中斷和分布式拒絕服務（DDoS）也會對業務產生負面影響。眾多安全對策中，Web應用防火墻是第一道防線。

Web應用防火墻（WAF）的基本功能是建立一道堅實的邊界，阻止特定類型的惡意流量訪問資源。盡管上世紀90年代末就已出現WAF，此類初代技術已不再適合近些年來的復雜網絡攻擊，不足以提供全面的應用控制和可見性。隨著安全風險的不斷上升，新時代Web應用防火墻是提供恰當防護的唯一解決方案。

傳統防火墻已死，至少瀕臨死亡

早些時候，Web應用沒那么普遍，Web威脅也就沒有那么突出。惡意機器人程序不算很復雜，檢測簡單直接。網絡安全需求還非常基礎，采用基本網絡安全管理就能妥善應對。

時至今日，所有這一切發生了改變。Web應用存在于本地、云端或混合環境中，客戶和雇員通過網絡在任意地點加以訪問。由于IP地址不斷改變，且被內容分發網絡（CDN）遮蔽，防火墻無法追蹤訪問請求源自何方、去向何處，也無法確知網絡上正在發生什么。

WAF應該能抵御一系列復雜高端威脅。傳統WAF以硬件設備形式實現，不僅難以使用，還深受可見性缺乏和性能低下之苦。以至于90%的公司企業聲稱自己的WAF太過復雜了。

波耐蒙研究所的調查研究顯示，65%的公司企業經歷過WAF失效，僅9%的公司企業WAF未遭突破。然而，這并不代表他們的WAF在未來永遠不會被繞過。公司企業擔心自身WAF的性能和安全不無道理。

圖：波耐蒙《Web應用防火墻狀態》

波耐蒙的研究還表明，僅40%的受訪者滿意自身現有WAF，也就是說他們并沒有充分發揮其功效。少數公司承認僅將WAF用于產生安全警報，而不是阻止可疑活動。

最糟的情況下，公司企業被WAF拖累，十分后悔投入如此多的資產卻在重要事項上毫無安全進展。于是，新時代Web應用防火墻的需求應運而生。AppTrana等新時代WAF是基于云的托管服務，更易于部署，擁有更便利的訂閱商業模式，且依托專業人才和知識持續管理安全策略，讓公司企業能夠專注自身核心專業技能，不用費心學習復雜的應用安全新技術。

傳統WAF面臨的挑戰

從傳統Web應用防火墻轉向下一代WAF的產業界人士表達了他們做出WAF切換決策的動機。大部分原因不外乎以下幾種：

1技術創新

Web應用標準不斷發展變化，提高了對WAF必要功能的要求。

JSON有效負載和HTTP/2采納的增長令大多數Web應用防火墻供應商疲于追趕。盡管市場預期不斷創新，很多WAF供應商卻越來越脆弱。

2缺乏擴展性

公司企業對網絡擴展的需求加劇了成本、耗時和復雜性等挑戰。設備集群的部署和維護變得非常復雜。

開發運維和敏捷方法需要持續重新配置和重新微調集群，耗干安全團隊資源。

3零日漏洞利用

盡管能夠有效監測Web流量以阻止特定于HTTP的攻擊，WAF卻對零日攻擊束手無策。WAF用于檢測預配置的模式，但零日漏洞可通過各種攻擊途徑加以利用，預配置的規則無法覆蓋這些途徑。

4阻塞合法流量

大多數WAF用戶的另一個不滿之處，是傳統WAF會無意阻塞有效流量，也就是所謂的誤報。盡管從安全角度考慮，這似乎相對無害，但對公司企業而言卻可能是災難性的。誤報可能會阻止訪客獲取應用功能、上傳媒體或購買產品。

解決這個問題的一個潛在方法是只應用最低限度的模式，但這可能會讓網絡更加脆弱。大多數WAF解決方案都難以平衡這一操作。除非投入專用資源加以管理，否則很難充分發揮傳統WAF的效用。這就是傳統WAF無法滿足預期的最大缺陷。

5DDoS攻擊

最重要的是，DDoS難題困擾WAF安裝。很多公司企業都使用WAF防止DDoS攻擊。他們選擇這么做主要是因為可以將WAF升級到具備緩解DDoS攻擊的功能。

然而問題在于，傳統WAF就不是用來抵御大規模DDoS攻擊的。而且，現代應用由第三方平臺共享或提供，靠本地防御層也保護不了。沒有基于云的WAF，就難以規劃前期容量，即使勉強規劃，也依然存在上限。

云WAF和專用托管云WAF能夠解決擴展問題。公司企業只需基于價值付費，無需為了未來可能或可能不會發生的事件支付前期固定費用。

了解新時代WAF的功能

盡管很多WAF供應商都宣稱提供下一代WAF，其實其中大部分都采用與傳統WAF相同的安全范式，根本不能稱之為下一代。我們需要的是真正稱得上下一代的新時代WAF。正如Indusface的AppTrana所呈現的，新時代WAF的基本特征包括：

1應用和Web使用控制

應用和Web使用控制能夠解決阻止哪類流量的問題。WAF采用多種標識類別來識別網站和網上應用的確切身份，確定該怎樣處理這些網站和應用。

準確的流量分類是下一代WAF的核心。這么做可以防止公司企業訪問可能導致法律問題或惡意/無關的網站和應用。

2高級Web應用安全數據分析

基于云的WAF不僅能夠處理大多數Web應用正在經歷的新興攻擊，還可穩定提升威脅可見性和改善數據分析。如果采用傳統WAF，公司企業基本等于盲飛，只能期待一切都“好”，而事故總會發生。

WAF實時監視性能指標，突出顯示基礎設施、應用和最終用戶的狀態。可以信任WAF會按既定功能運行，讓用戶能在事件發生前早做準備。

3Web應用安全評估和惡意軟件檢測

新時代防火墻很清楚：即使合法網站也可能無意中存在漏洞，甚至可能含有鏈向惡意站點和惡意攻擊載荷的鏈接。而且，即使知道常會含有惡意鏈接或惡意文件，公司企業有時候也會賦予社交媒體平臺訪問權。

AppTrana之類新時代WAF的主要好處，是能夠提供與應用風險相關的WAF策略并持續執行。

4全球威脅情報

基于云的安全平臺能夠利用其國際部署，維持完整的全球流量趨勢洞察。此類安全平臺監視和分析全球所有部署的流量，只要某個位置識別出安全威脅，全球所有部署都能收到更新并響應加強防御。

5自動化干預

基于云的WAF不僅依賴預定義的策略和特征，還提供準確的自定義風險規則托管服務。云WAF基于實時模式和行為分析持續監視并自動過濾有效請求及惡意黑客，也提供虛擬補丁以防止漏洞利用，比如零日漏洞。

前瞻

傳統WAF與新時代WAF之間存在幾個關鍵差異。如果傳統WAF出于某種原因不敷使用，Web應用就會成為攻擊者易于得手的獵物。最佳解決辦法是選擇先進的Web防護，防止對業務運營造成負面影響。基于云的新時代WAF旨在提供足夠的Web防護，交付安全投資的真正價值。