傳統 WAF 使用率降低的原因有哪些

傳統WAF使用率降低的原因有以下這些：

• 防護能力不足以應對黑產：傳統WAF主要依賴規則，一方面是吃一塹長一智，針對已知攻擊形式有一定防御，針對未知攻擊無防護能力，另外一方面，即使是已知攻擊行為，由于正則表達式固有的局限性以及shell、PHP等語言的靈活多變的語法，因此理論上是可以繞過的，事實上也是可以繞過的。

• 缺乏有效的基礎業務安全防護能力：WAF是否需要承擔業務安全或者說業務風控的職責，其實廠商和用戶一直沒有達成一致，多數廠商認為這不是WAF的職責，撞庫、刷短信接口、薅羊毛等，確實是專業風控產品的職責；從用戶角度講，以前被人撞庫、刷短信接口、薅羊毛等，分析日志加Nginx封IP能解決一部分問題，結果上WAF卻搞不定了，還非要忽悠我買昂貴的風控。我認為WAF還是要有基礎的業務安全防護能力，無論是自動還是由用戶配置。

• 審計能力不足：閑時看PV，出事能取證，出現安全事件時可以很方便地查詢原始流量，這個對于應急響應的同學很重要。令人遺憾的是，多數WAF即使可以保存訪問日志，但也只能保存請求頭、基礎的URL，對于攻擊定位至關重要的post body，應答內容記錄的卻很少，當然我們也能理解，這是由于存儲空間問題、性能問題造成的。

• 缺乏擴展性：Web應用標準不斷發展變化，提高了對WAF必要功能的要求。公司企業對網絡擴展的需求加劇了成本、耗時和復雜性等挑戰。設備集群的部署和維護變得非常復雜，而傳統的WAF不能應對因為網絡擴展而增加的風險，還只能防御原有的網絡環境，對擴展的環境毫無防護能力。

• 阻塞合法流量：大多數WAF用戶的另一個不滿之處，是傳統WAF會無意阻塞有效流量，也就是所謂的誤報。盡管從安全角度考慮，這似乎相對無害，但對公司企業而言卻可能是災難性的。誤報可能會阻止訪客獲取應用功能、上傳媒體或購買產品。解決這個問題的一個潛在方法是只應用最低限度的模式，但這可能會讓網絡更加脆弱。大多數WAF解決方案都難以平衡這一操作。除非投入專用資源加以管理，否則很難充分發揮傳統WAF的效用。這就是傳統WAF無法滿足預期的最大缺陷。

回答所涉及的環境：聯想天逸510S、Windows 10。