2020-03-13 16:46:54 WangLiwen

什麼是雲WAF？

雲WAF，也稱WEB應用防火牆的雲模式。

這種模式讓用戶不需要在自己的網絡中安裝軟件WAF或部署硬件WAF，就可以對網站實施安全防護。

防SQL注入、防XSS、防DDOS等，這些傳統WAF上存在的功能，雲WAF同樣具備。

從用戶的角度來看，雲WAF就像是一種安全服務。

雲WAF的實現

之所以稱之為雲WAF，就是因為它所有的WAF功能都是通過雲端提供的，而不需要在本地部署產品。

雲WAF的達成，主要利用的就是DNS技術。

眾所周知，每個網站都有自己的域名，域名與WEB服務器的IP地址相對應。當客戶端瀏覽器通過域名訪問網站時，首先會由網站指定的DNS服務器解析出域名所對應的WEB服務器的IP地址，這樣客戶端才能向服務器發起正常的訪問請求，進而完成一次完整的HTTP會話。

雲WAF正是利用這項機制。通過讓網站移交域名解析權的方式，實現對網站的安全防護。
通常情況下，雲WAF系統由控制中心及端節點兩大部分組成。控制中心部署有DNS服務器、調度系統等，用來解析並調度客戶端對網站的訪問請求。端節點採用多臺分佈式部署，每一個端節點都是一臺獨立的硬件WAF設備，用來過濾非法的網站請求。

具體實現過程為：用戶首先需要將被保護的網站域名解析權移交給雲WAF系統（採用修改域名NS記錄或CNAME記錄的方式）。域名解析權移交完成後，所有對被保護網站的請求，將會被控制中心解析並調度到指定的端節點上（當然，在這個過程中，雲WAF會過濾攻擊威脅）。由端節點進行流量過濾後，再遞交給原始的WEB服務器。

其實，有的情況下，通過使用支持雲模式的軟件WAF，也可以實現雲WAF。比如在下曾用ShareWAF這款軟件WAF給公司實現了私有云WAF，給公司數個網站提供安全防護服務。

雲WAF帶來的利與弊

分析了雲WAF的實現原理後，我們發現。雲WAF的出現，雖然給網站防護帶來了一種新的模式。但是從安全防護的手段及能力上來看，雲WAF仍然是依賴於端節點的硬件設備，並沒有本質性的改變。那麼，與部署傳統的硬件設備相比，使用雲WAF究竟帶來的是利還是弊？

雲WAF之利（一）：零部署，零維護

這也是雲WAF最有價值，最為吸引用戶的一點。不需要安裝任何軟件程序或部署硬件設備，只需切換DNS就可以將網站加入到雲WAF系統的防護中。而且，雲WAF提供商會負責系統維護及防護規則庫的更新，管理員不必擔心可能會因為疏忽或者黑客使用最新的攻擊手段而使網站受到威脅。

雲WAF之利（二）：提供CDN功能
網站訪問速率是評估一個網站業務能力的重要指標。一些大型的網站為了提升訪問速率，往往會使用CDN服務。規模較大的雲WAF系統都是以分佈式計算為基礎架構，採用跨運營商的多線智能解析調度，將單點網站資源動態負載至全國的雲端節點，用戶訪問流量被引導至最近的雲端節點。並且通過對請求的動態內容優化壓縮，靜態內容分佈緩存，為用戶提供CDN服務，提升網站的訪問速度。
以上兩點，讓部分用戶對雲WAF“一見鍾情”。但是從更專業的角度考量，在這些特性背後，雲WAF同樣存在著嚴重的問題。

雲WAF之弊（一）：系統存在被輕易繞過的風險
眾所周知，本地WAF對網站實施保護，主要採用的是反向代理技術。通過配置代理端口並設定地址映射規則，達到隱藏真實服務器的目的。然而不同的是，雲WAF系統需要依賴於DNS進行訪問調度。網站的所有訪問流量只有經過指定的DNS服務器解析後才會被牽引到雲WAF系統的防護節點進行過濾。這樣一來，如果黑客利用相關手段獲取到原始WEB服務器的IP地址，然後通過強制解析域名的方式，就可以輕鬆的繞過雲WAF系統對原始服務器實施攻擊。

雲WAF之弊（二）：系統的可靠性欠缺保障
雲WAF系統處理一次網站訪問請求，至少需要經過DNS解析、請求調度、流量過濾等環節。其中涉及多個系統的協同關聯作業。只要有一個環節出現問題，就會導致網站無法正常訪問。目前雲WAF系統還沒有相對完善的機制解決此類問題，必要時只能手動將域名解析權切換回原DNS服務器，使得網站流量不經過雲WAF系統。但是域名解析權切換生效是需要一定的時間。這種方式與硬件設備的Bypass功能相比，顯然效率會低很多。

雲WAF之弊（三）：網站訪問數據的保密性較低
網站訪問數據對於一些企業機構來說是保密且重要的數據。因為裡面可能包含了用戶的隱私以及市場信息。把這些數據存儲在本地自己管控相對會比較安全。但是，如果網站使用了雲WAF系統，網站的所有訪問數據都會被記錄在端節點並上傳到控制中心，相當於把數據交給了別人保管，會存在嚴重的洩密風險。