新一代WAF的五大技术创新点

点击 蓝字 关注我们

01

02

从业者们经常强调，他们之所以选择从传统Web应用程序防火墙转向下一代WAF，主要基于以下几点重要考量：

1、技术创新

Web应用程序标准一直在不断变化，这就提高了用户对于WAF的功能要求。

JSON有效载荷与HTTP/2的日趋普及，迫使大部分Web应用程序防火墙供应商必须努力跟上。在市场对于安全产品创新的需求压力之下，相当一部分WAF供应商已经逐渐被时代所抛弃。

2、缺乏可扩展性

组织对于网络扩展能力的要求，往往带来更高的成本、更长的时间投入与更复杂的管理流程。以此为基础，设备集群的部署与维护都变得难于打理。

DevOps与敏捷方法也要求组织对集群进行统一的重新配置与重新调整，这一切都将进一步占用本就十分紧张的安全资源。

3、零日漏洞的利用

虽然WAF能够有效监控Web流量以防止针对HTTP的攻击，但面对零日攻击时却束手无策。WAF的基本设计思路在于根据预先配置的模式进行恶意活动检测，但零日漏洞却可能被任意攻击者所利用，导致预配置模式在攻击面前始终不起作用。

4、阻断合法流量

大多数WAF用户还抱怨称，传统WAF经常会无缘无故就阻断合法流量，即引发所谓误报问题。尽管这种状况在安全层面看似无害，但却可能给组织本身带来灾难性的影响。由于一部分访问者无法正常获取应用功能、上传媒体数据或者购买产品，他们往往会转向其他厂商，引发严重的客户流失。

一种可行的应对办法，在于尽可能减少安全模式的应用数量。但这往往又会增加网络的运行风险。大多数WAF解决方案很难在这两个极端之间找到完美平衡。除非投入专门的资源进行管理，否则组织几乎无法充分发挥传统WAF的价值。这也成为传统WAF与新一代WAF之间的最大差异所在。

5、DDoS攻击

最重要的是，DDoS攻击也给WAF带来了困扰。我们发现不少组织在使用WAF抵御DDoS攻击，并号称能够借此获得良好的保护效果。

但问题在于，传统WAF在自身设置上并不足以抵挡大规模DDoS攻击。另外，现有应用程序往往由第三方平台共享/提供，因此无法立足本地防御层加以保护。如果没有基于云的WAF，您将很难提前规划容量；即使有所规划，容量仍存在明确上限，往往不足以消化掉瞬间涌现的恶意流量。

云WAF（特别是托管型云WAF）拥有更强的规模伸缩能力。企业只需要根据实际资源使用量付费，而不必为未来可能需要的容量预先投入固定成本。

03

尽管众多WAF供应商都宣称提供下一代WAF产品，但其中大多延续与传统WAF相同的安全模式，因此不能算是真正的下一代方案。我们可以将下一代WAF的基本功能及特性总结如下：

1、应用程序与Web使用控制

应用程序与Web使用控制解决了“哪些流量类型需要阻断？”这一核心问题。下一代WAF将使用多种标识类别对跨网络站点及应用内的往来流量进行身份标记，进而确定应如何处理。

准确的流量分类无疑是下一代WAF的核心功能，有助于防止组织访问各类恶意、不相关或者可能造成法律纠纷的网站及应用。

2、高级Web应用程序安全分析

基于云的WAF不仅能够解决困扰大多数Web应用程序的新兴攻击活动，同时也能够在威胁可见性及分析层面做出持续改进。在传统WAF中，企业通常会对已有的问题视而不见，假装一切风平浪静，直到问题发生。

新一代WAF能够实时监控性能指标，突出展示基础设施、应用程序以及最终用户群体内正在发生的一切。您可以在问题真正出现之前做出反应，并相信WAF能够始终按照预期方式运行。

3、Web应用程序安全评估与恶意软件检测

新一代防火墙充分意识到，即使合法有效的站点也有可能存在某些不为人知的漏洞，甚至可能链接至恶意软件站点及恶意负载处。此外，企业有时还希望对社交媒体平台授予访问权限，而这些平台上往往也充斥着恶意链接或文件。

在这种情况下，能够提供与应用风险紧密关联的WAF策略、并持续加以迭代的新一代WAF将拥有传统方案所无法比拟的优势。

4、全球威胁情报

这种基于云的安全平台能够充分利用覆盖全球的部署体系，全面了解世界范围内的流量变化趋势。它会监控并分析所有流量，当在一个位置发现安全威胁之后，随机会对全球所有部署节点进行更新与强化。

5、自动干预

基于云的WAF不仅可以通过预定义的策略与签名实现流量阻断，同时也提供托管服务，供用户根据风险需求准确建立自定义规则。新一代WAF以实时模式及行为分析为基础，持续监控并自动过滤出合法请求与恶意流量。此外，它还能提供虚拟补丁程序，借此预防零日漏洞利用等安全隐患。

04