过去企业通常会采用防火墙,作为安全保障的第一道防线。当时的防火墙只是在第三层(网络层)有效的阻断一些数据包,而随着web利用的功效越来越丰富的时候,Web服务器因为其壮大的盘算能力,处理性能,蕴含较高的价值,成为重要的被攻击目标(第五层利用层)。而服务器监控时,传统防火墙在禁止利用利用程序漏洞进行的攻击方面,却没有措施。在此背景下,waf(Web Application Firewall)应运而生。
WAF和防火墙的差别:
waf称为web利用防火墙,是通过履行一系列针对HTTP,HTTPS的安全策略,来专门对web利用,供给掩护的一款产品。WAF初期是基于规矩防护的防护设备;基于规矩的防护,可以供给各种web利用的安全规矩,waf生产商去掩护这个规矩库,并实时为其更新,用户按照这些规矩,可以对利用进行全方面的掩护。
但随着攻防双方的不断过招,攻击者也摸清了,这一套传统的防御系统,随着应用各种各样的绕过技巧,打破了这套防线,同上这套防护思路,还有一个天生的缺点,就是难以拦阻未知的攻击。因此技巧的改革也是必定的。在这几年WAF领域涌现了很多新的技巧,譬如通过数据建模学习企业自身业务,从而阻拦与其业务特点不匹配的恳求;或者应用智能语音分析引擎,从语音本质去懂得。无论是用已知漏洞攻击利用程序,还是未知攻击,都可以精准的辨认。
个人和中小企业站点是不是需要WAF?
在网络安全法规范中:单位或个人建立、运营网站,则有任务保证网站运行正常。如果网站被攻击、被入侵,散布出不良言论、带来不良影响、或网站以不良形象示人。那么可能会给国家、社会或他人,带来不良影响。如果产生此种情况,相干单位、责任人需承担相应的法律责任。
可想而知,网站不做防护,违法了、成果很严重:相干负责人可能会被罚款、处分,相干企业可能被停业、吊销营业执照。这还不考虑网站防护的真实需求,只是从法律法规层面来看而已。可能很多人不认为然,侥幸心理使然,认为只是个规定而已,不会查到自己头上。
是吗?不!国家是认真的,各地已相继展开等保核查工作,公安、网安已经出动。也就是说:无论是出于真实的安全需求、掩护网站安全,还是为了符合法律请求,做为网站的运营者,都必需要满足等保请求、都一定要给网站做安全防护了。
没有WAF的IDC会怎么样?
坦言:会相当被动。以往,没有等保请求的情况下,很多客户是不在意安全问题的,许多小中企业只是架个企业静态官网,做什么安防呢,没那资金预算,也不在意安全问题:被黑了、网站被改了、挂马了?大不了重上传一下网站,无所谓的事。
但现在不一样了,如前文所述,如果创造上述问题,问题就大了。举例而言:就算是个小网站,没有太多的数据、太多的敏感信息,如果网站被修正,网页涌现了不良言论、不法言论、不实消息、色情等等,在公安、网安的视角:会造成不良的社会影响、甚至对国家造成负面影响等。
如是大网站,数据泄漏、敏感信息流出,更是非常严重的问题,谁知是不是境外权势的故意渗透、谁知道会被获取什么信息、谁知道数据会被用于什么方面:钓鱼?电信诱骗……所认为防患于未然,网络安全法、等保请求:网站防护,一定要的!若不履行,就是公安、网安上门。
那网站服务器如何添加防护呢?
当然是上WAF(WEB利用防火墙:Web Application Firewall)。如何上WAF?WAF有三种:软件、云、硬件。
1、硬件WAF:就是买台硬件WAF,接在自己的WEB服务器之前。但一般中小企业、个人是没有自己的服务器的,都是用IDC的云主机、虚拟主机,这里就不多讲了,不是本文主题。
2、软件WAF:就是自己在服务器上安排软件WAF,需要自己动手丰衣足食。
3、云WAF:就是用IDC(云主机、虚拟主机的供给方)的云WAF功效或平台。
IDC与云WAF密切相干,国内绝大多数的网站运营者,都应用IDC供给的网站服务。国内外大大小小的IDC有数百家。客户选择其WEB服务后,可以方便的应用其供给的云WAF,满足真实防护需求和等保请求(不考虑价格因素的情况下,如不愿意遭遇其高价格,也可自己安排软件WAF,如:ShareWAF)。
但更多的IDC是价格更为实惠的区域性的中小IDC。这些IDC通常是没有WAF功效的,究其原因:很多IDC是代理商,没有太多技巧实力,更别说门槛很高的WAF产品研发能力,所以无法供给WAF功效,再一个重要原因:还未有足够的认识和器重。
在这种情况之下,客户对自身网站的防护需求,是真实的,是刚需。如果服务器供给商不能供给WAF功效或云WAF,客户如何解决?
客户有几种选择:
方案1、自己安排WAF,自己掩护;问题:有技巧请求,不是所有客户都有技巧人员。
方案2、接入其它IDC的云WAF。问题:非同一IDC的服务,会给访问速度带来严重影响,掩护也麻烦。客户:我为啥不选择那家有WAF服务的IDC?迁移。
方案3、不防了,裸奔算了。问题:客户会顾虑重重,说不定哪天就被网安查了,要么,干脆不要这站了。
以上,如果不供给WAF,IDC会相当被动,将面临:已有客户流失,未来客户越来越少,甚至无法生存下去。所以,IDC一定要有WAF!如何才干有呢?
自研,只合适有技巧实力、有安全知识储备的IDC。而且WAF领域,门槛较高,需要足够的技巧储备和不短的开发测试周期。收购WAF,资金充分产的IDC可以尝试收购成熟的WAF产品,以金钱换时间,一步到位。
合作,跟国内的WAF方合作,由WAF方供给产品(或OEM)或技巧支撑。
总结,相对网络防火墙,WAF 能解析常用的利用层协议,初略的懂得数据流,能应对常见的 Web 利用网络攻击。毛病就是不懂得利用程序的高低文,误杀率比较高,配置过于复杂,需要既懂得 WAF 同时懂得特定的利用程序的专业人士进行管理,管理成本比较高。同样也存在「翻墙」绕过的问题,在无边界的环境里也不实用网站,很多朋友咨询网站该选择10g高防服务器?客户应当按需选择。
