目前，由于受到種種潛在利益的驅動，Web應用程序已然成為攻擊者的首要目標。Web應用程序上的安全漏洞有可能造成數百萬美元損失。令人驚訝的是，與DNS（域名系統）有關的服務中斷和分布式拒絕服務（DDoS）攻擊會給業務帶來嚴重的負面影響。在眾多應對策略中，Web應用程序防火墻（WAF）無疑扮演著最重要的首道防線角色。

　　Web應用程序防火墻的基本功能是建立一道堅固的防線，以防止某些惡意流量任意攫取資源。盡管WAF技術自上世紀九十年代末就已誕生，然而早期技術成果早已無法適應如今愈發復雜的網絡攻擊活動。隨著安全風險的不斷提升，新一代Web應用程序防火墻已然成為唯一值得信賴的防護方案。

　　01

　　傳統WAF正走向消亡

　　早期，Web應用程序還相對少見，因此由Web帶來的威脅也不明顯。那時的惡意程序復雜度較低，而且易于檢測。網絡安全需求量較少，并且通過基本的網絡安全管理即可滿足。

　　如今，一切已經不復當初。Web應用程序可能部署在本地、云上乃至混合環境當中。客戶及員工可以從任意位置通過網絡加以訪問。由于IP地址不斷變化并被CDN所屏蔽，防火墻很難跟蹤當前正在發生什么、請求的具體來源以及確切去向。

　　面對種種挑戰及復雜威脅，WAF自然有必要扛起防御的大旗。但傳統WAF主要由獨立的硬件設備實現，這些硬件設備難以使用、可視性較差并且性能較低。事實上，高達90%的組織表示其WAF過于復雜。

　　根據Ponemon研究所發布的報告，有65%的組織曾遭遇過WAF繞過問題，只有9%的組織表示其WAF從未失效。然而，這并不能夠保證他們會永遠不會遭遇這種問題。因此，所有公司都應該重視自身WAF的效能與安全保障水平。

　　Ponemon的研究報告還指出，只有40%的受訪者對其現有WAF感到滿意，意味著這類方案一直未能得到充分利用。實際上有部分企業表示他們只是使用WAF生成安全警報，而從未將其真正用于阻止可疑活動。

　　最糟糕的是，組織本身甚至可能被WAF所拖垮——對于這樣一種耗資甚巨的資產，組織對于WAF乏善可陳的安全增強表現感到無可奈何。為了解決這方面難題，新一代Web應用程序防火墻應運而生。

　　02

　　傳統WAF面臨的挑戰

　　從業者們經常強調，他們之所以選擇從傳統Web應用程序防火墻轉向下一代WAF，主要基于以下幾點重要考量：

　　1、技術創新

　　Web應用程序標準一直在不斷變化，這就提高了用戶對于WAF的功能要求。

　　JSON有效載荷與HTTP/2的日趨普及，迫使大部分Web應用程序防火墻供應商必須努力跟上。在市場對于安全產品創新的需求壓力之下，相當一部分WAF供應商已經逐漸被時代所拋棄。

　　2、缺乏可擴展性

　　組織對于網絡擴展能力的要求，往往帶來更高的成本、更長的時間投入與更復雜的管理流程。以此為基礎，設備集群的部署與維護都變得難于打理。

　　DevOps與敏捷方法也要求組織對集群進行統一的重新配置與重新調整，這一切都將進一步占用本就十分緊張的安全資源。

　　3、零日漏洞的利用

　　雖然WAF能夠有效監控Web流量以防止針對HTTP的攻擊，但面對零日攻擊時卻束手無策。WAF的基本設計思路在于根據預先配置的模式進行惡意活動檢測，但零日漏洞卻可能被任意攻擊者所利用，導致預配置模式在攻擊面前始終不起作用。

　　4、阻斷合法流量

　　大多數WAF用戶還抱怨稱，傳統WAF經常會無緣無故就阻斷合法流量，即引發所謂誤報問題。盡管這種狀況在安全層面看似無害，但卻可能給組織本身帶來災難性的影響。由于一部分訪問者無法正常獲取應用功能、上傳媒體數據或者購買產品，他們往往會轉向其他廠商，引發嚴重的客戶流失。

　　一種可行的應對辦法，在于盡可能減少安全模式的應用數量。但這往往又會增加網絡的運行風險。大多數WAF解決方案很難在這兩個極端之間找到完美平衡。除非投入專門的資源進行管理，否則組織幾乎無法充分發揮傳統WAF的價值。這也成為傳統WAF與新一代WAF之間的最大差異所在。

　　5、DDoS攻擊

　　最重要的是，DDoS攻擊也給WAF帶來了困擾。我們發現不少組織在使用WAF抵御DDoS攻擊，并號稱能夠借此獲得良好的保護效果。

　　但問題在于，傳統WAF在自身設置上并不足以抵擋大規模DDoS攻擊。另外，現有應用程序往往由第三方平臺共享/提供，因此無法立足本地防御層加以保護。如果沒有基于云的WAF，您將很難提前規劃容量；即使有所規劃，容量仍存在明確上限，往往不足以消化掉瞬間涌現的惡意流量。

　　云WAF（特別是托管型云WAF）擁有更強的規模伸縮能力。企業只需要根據實際資源使用量付費，而不必為未來可能需要的容量預先投入固定成本。

　　03

　　新一代WAF的基本功能

　　盡管眾多WAF供應商都宣稱提供下一代WAF產品，但其中大多延續與傳統WAF相同的安全模式，因此不能算是真正的下一代方案。我們可以將下一代WAF的基本功能及特性總結如下：

　　1、應用程序與Web使用控制

　　應用程序與Web使用控制解決了“哪些流量類型需要阻斷？”這一核心問題。下一代WAF將使用多種標識類別對跨網絡站點及應用內的往來流量進行身份標記，進而確定應如何處理。

　　準確的流量分類無疑是下一代WAF的核心功能，有助于防止組織訪問各類惡意、不相關或者可能造成法律糾紛的網站及應用。

　　2、高級Web應用程序安全分析

　　基于云的WAF不僅能夠解決困擾大多數Web應用程序的新興攻擊活動，同時也能夠在威脅可見性及分析層面做出持續改進。在傳統WAF中，企業通常會對已有的問題視而不見，假裝一切風平浪靜，直到問題發生。

　　新一代WAF能夠實時監控性能指標，突出展示基礎設施、應用程序以及最終用戶群體內正在發生的一切。您可以在問題真正出現之前做出反應，并相信WAF能夠始終按照預期方式運行。

　　3、Web應用程序安全評估與惡意軟件檢測

　　新一代防火墻充分意識到，即使合法有效的站點也有可能存在某些不為人知的漏洞，甚至可能鏈接至惡意軟件站點及惡意負載處。此外，企業有時還希望對社交媒體平臺授予訪問權限，而這些平臺上往往也充斥著惡意鏈接或文件。

　　在這種情況下，能夠提供與應用風險緊密關聯的WAF策略、并持續加以迭代的新一代WAF將擁有傳統方案所無法比擬的優勢。

　　4、全球威脅情報

　　這種基于云的安全平臺能夠充分利用覆蓋全球的部署體系，全面了解世界范圍內的流量變化趨勢。它會監控并分析所有流量，當在一個位置發現安全威脅之后，隨機會對全球所有部署節點進行更新與強化。

　　5、自動干預

　　基于云的WAF不僅可以通過預定義的策略與簽名實現流量阻斷，同時也提供托管服務，供用戶根據風險需求準確建立自定義規則。新一代WAF以實時模式及行為分析為基礎，持續監控并自動過濾出合法請求與惡意流量。此外，它還能提供虛擬補丁程序，借此預防零日漏洞利用等安全隱患。

　　04

　　展望未來

　　傳統WAF與新一代WAF之間有著一系列的關鍵差異。如今的攻擊者早已熟知傳統WAF的特性，善于尋找漏洞、入侵Web應用程序。因此，請選擇新一代WAF為您帶來的高級Web保護功能，在維持業務正常運行的前提下迎接安全層面上的良好投資回報。