网安 - 专业的网络安全产业、社区、知识平台

浅谈云WAF带来的利与弊

VSole2021-12-16 22:28:42

近年来,云计算的热潮推动着IT行业的发展。很多企业的产品或服务都在尽力与云“挂钩”。其中,在国内外信息安全市场中,也多了一个新的概念,就是“云WAF”。

云WAF,也称WEB应用防火墙的云模式。它是一种全新的信息安全产品模式。这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护。防SQL注入、防XSS、防DDOS等,这些传统WAF上存在的功能,云WAF同样具备。从用户的角度来看,云WAF更像是一种安全服务,只不过这种服务并非是通过人工来实施的。

云WAF的技术实现

之所以称之为云WAF,就是因为它所有的WAF功能都是通过云端提供的,而不需要在本地部署产品。实现这点主要利用的就是DNS技术。

众所周知,每个网站都有自己的域名,域名与WEB服务器的IP地址相对应。当客户端浏览器通过域名访问网站时,首先会由网站指定的DNS服务器解析出域名所对应的WEB服务器的IP地址,这样客户端才能向服务器发起正常的访问请求,进而完成一次完整的HTTP会话。

云WAF正是利用这项机制。通过让网站移交域名解析权的方式,实现对网站的安全防护。

通常情况下,云WAF系统由控制中心及端节点两大部分组成。控制中心部署有DNS服务器、调度系统等,用来解析并调度客户端对网站的访问请求。端节点采用多台分布式部署,每一个端节点都是一台独立的硬件WAF设备,用来过滤非法的网站请求。具体实现过程为:用户首先需要将被保护的网站域名解析权移交给云WAF系统(采用修改域名NS记录或CNAME记录的方式)。域名解析权移交完成后,所有对被保护网站的请求,将会被控制中心解析并调度到指定的端节点上。由端节点进行流量过滤后,再递交给原始的WEB服务器。

云WAF系统实现原理

云WAF带来的利与弊

百变不离其宗。分析了云WAF的实现原理后,我们发现。云WAF的出现,虽然给网站防护带来了一种新的模式。但是从安全防护的手段及能力上来看,云WAF仍然是依赖于端节点的硬件设备,并没有本质性的改变。那么,与部署传统的硬件设备相比,使用云WAF究竟带来的是利还是弊?下面就来分析一二,仅供广大网站管理者们参考。

云WAF之利(一):零部署,零维护

这也是云WAF最有价值,最为吸引用户的一点。不需要安装任何软件程序或部署硬件设备,只需切换DNS就可以将网站加入到云WAF系统的防护中。而且,云WAF提供商会负责系统维护及防护规则库的更新,管理员不必担心可能会因为疏忽或者黑客使用最新的攻击手段而使网站受到威胁。

云WAF之利(二):提供CDN功能

网站访问速率是评估一个网站业务能力的重要指标。一些大型的网站为了提升访问速率,往往会使用CDN服务。规模较大的云WAF系统都是以分布式计算为基础架构,采用跨运营商的多线智能解析调度,将单点网站资源动态负载至全国的云端节点,用户访问流量被引导至最近的云端节点。并且通过对请求的动态内容优化压缩,静态内容分布缓存,为用户提供CDN服务,提升网站的访问速度。

     以上两点,让部分用户对云WAF“一见钟情”。但是从更专业的角度考量,在这些特性背后,云WAF同样存在着严重的问题。

云WAF之弊(一):系统存在被轻易绕过的风险

众所周知,本地WAF对网站实施保护,主要采用的是反向代理技术。通过配置代理端口并设定地址映射规则,达到隐藏真实服务器的目的。然而不同的是,云WAF系统需要依赖于DNS进行访问调度。网站的所有访问流量只有经过指定的DNS服务器解析后才会被牵引到云WAF系统的防护节点进行过滤。这样一来,如果黑客利用相关手段(具体手段在这里不做具体介绍)获取到原始WEB服务器的IP地址,然后通过强制解析域名的方式,就可以轻松的绕过云WAF系统对原始服务器实施攻击。

云WAF之弊(二):系统的可靠性欠缺保障

云WAF系统处理一次网站访问请求,至少需要经过DNS解析、请求调度、流量过滤等环节。其中涉及多个系统的协同关联作业。只要有一个环节出现问题,就会导致网站无法正常访问。目前云WAF系统还没有相对完善的机制解决此类问题,必要时只能手动将域名解析权切换回原DNS服务器,使得网站流量不经过云WAF系统。但是域名解析权切换生效是需要一定的时间。这种方式与硬件设备的Bypass功能相比,显然效率会低很多。

云WAF之弊(三):网站访问数据的保密性较低

网站访问数据对于一些企业机构来说是保密且重要的数据。因为里面可能包含了用户的隐私以及市场信息。把这些数据存储在本地自己管控相对会比较安全。但是,如果网站使用了云WAF系统,网站的所有访问数据都会被记录在端节点并上传到控制中心,相当于把数据交给了别人保管,会存在严重的泄密风险。

分析利弊后,我们发现,云WAF目前还只适用于一些安全需求较低的中小企业网站或个人网站。对于一些安全需求较高的网站,像政府、金融、运营商等,无论从政策法规上还是业务特性上看,云WAF都无法满足要求。所以建议广大网站管理者,需要根据网站的实际情况,明确需求,选择最为合适的安全产品和服务。

waf云系统
本作品采用《CC 协议》,转载必须注明作者和本文链接
蓝队视角下企业网络安全防御体系构建
2022-07-07 22:50:27
蓝队一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括前期安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据。
浅谈WAF带来的利与弊
2021-12-16 22:28:42
WAF的技术实现之所以称之为WAF,就是因为它所有的WAF功能都是通过云端提供的,而不需要在本地部署产品。WAF正是利用这项机制。通常情况下,WAF系统由控制中心及端节点两大部分组成。而且,WAF提供商会负责系统维护及防护规则库的更新,管理员不必担心可能会因为疏忽或者黑客使用最新的攻击手段而使网站受到威胁。
知道创宇“战线前置”,安全已无死角
2022-07-22 16:31:01
目前,知道创宇已在全球部署超过50个数据中心,带宽储备达到Tbps级。而知道创宇已通过滚动式发展,建立起覆盖全球的安全体系。知道创宇通过数据分析,锁定可疑高危IP,并将其重点监控以防患于未然。私有的需求则有所不同。通过“上安全三件套”,以及安全专家团队和大数据分析,知道创宇可在0day攻击发生前,弥补安全漏洞,可持续升级优化安全策略。
8 种常见的存储安全风险及防护建议
2024-02-19 17:20:25
存储是一个以数据存储和管理为核心的应用系统,给企业组织提供了一种全新的数据信息存储模式。尽管目前存储的安全性问题已经有了很大改善,但由于计算技术自身的特点,决定了它在安全性方面仍然有很大的挑战,一旦存储的安全防线被攻破,其中存储的数据都将会被泄露。
深度详解:如何安全地使用公有
2022-11-07 09:41:12
可以认为IAM分成两类,一个是AWS提供的IAM,这是一个完整的身份管理系统,但AWS只提供了系统,基于该系统的配置及信息维护,由客户完全负责。AWS 提供了虚拟网络及其之上的VPC,子网,ACL,安全组等,客户需要准确设计配置自己的网络,以确保正确的隔离和防护。用户控制权限的修改通常由特权用户或者管理员组实现。
安全上!天融信入选《2022北京产业互联网创新应用场景案例》
2022-08-12 08:52:27
本次论坛是2022全球数字经济大会的分论坛之一,由2022全球数字经济大会组委会主办,北京软件和信息服务业协会承办。多年来,天融信始终坚持“用赋能安全,用安全助力和安全融合共生”的理念,积极推动安全生态合作,用安全产品和解决方案助力的发展并荣获多项奖项荣誉。
绿盟科技安全纲领
2022-10-09 16:47:21
绿盟科技自2012年开始研究并打造计算安全解决方案,并于2022年正式推出“T-ONE化战略”,将安全产品与方案全面向转型,并构建开放的化生态。考虑到各类数据上趋势明显,上的数据安全应特别得到重视。每年因错误配置、漏洞利用等问题进而发生的恶意代码执行事件与日俱增,恶意样本总数相比2020年同期数量上涨10%,因而计算租户需要特别注意这些安全风险。
红队之信息收集
2021-09-22 12:30:38
企业信息收集拿到一个目标,不考虑钓鱼的情况下。如果正常从web入手,至少需要收集以下的信息。一般经过上面的收集以后,我们能够获取到一系列的ip,域名信息。此时需要针对这些进行排除。碰到过一次有个队伍打供应链下载源码审计的这种属于非常态暂不讨论。用户级别主要是涉及拿到一些用户的用户名等。便于进行暴力破解。利用app查询公司的域名。是在于跑一下子域名。先不要急着跑子域名。
Check Point:混合数据中心安全,管理至关重要
2021-09-23 17:53:26
2020 年,Check Point 推出了首个自主威胁防御管理平台 — R81。
基于超融合系统构建新一代私有
2021-09-22 13:42:44
本期发布牛品推荐——天融信太行解决方案。
VSole
网络安全专家