0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

Web安全防护知识,云WAF的利与弊分析

独爱72H 来源:网络整理 作者:佚名 2020-03-14 15:31 次阅读

(文章来源:网络整理)

云WAF,也称WEB应用防火墙的云模式。这种模式让用户不需要在自己的网络中安装软件WAF或部署硬件WAF,就可以对网站实施安全防护。防SQL注入、防XSS、防DDOS等,这些传统WAF上存在的功能,云WAF同样具备。从用户的角度来看,云WAF就像是一种安全服务。之所以称之为云WAF,就是因为它所有的WAF功能都是通过云端提供的,而不需要在本地部署产品。云WAF的达成,主要利用的就是DNS技术。

众所周知,每个网站都有自己的域名,域名与WEB服务器的IP地址相对应。当客户端浏览器通过域名访问网站时,首先会由网站指定的DNS服务器解析出域名所对应的WEB服务器的IP地址,这样客户端才能向服务器发起正常的访问请求,进而完成一次完整的HTTP会话。

云WAF正是利用这项机制。通过让网站移交域名解析权的方式,实现对网站的安全防护。通常情况下,云WAF系统由控制中心及端节点两大部分组成。控制中心部署有DNS服务器、调度系统等,用来解析并调度客户端对网站的访问请求。端节点采用多台分布式部署,每一个端节点都是一***立的硬件WAF设备,用来过滤非法的网站请求。

具体实现过程为:用户首先需要将被保护的网站域名解析权移交给云WAF系统(采用修改域名NS记录或CNAME记录的方式)。域名解析权移交完成后,所有对被保护网站的请求,将会被控制中心解析并调度到指定的端节点上(当然,在这个过程中,云WAF会过滤攻击威胁)。由端节点进行流量过滤后,再递交给原始的WEB服务器。

其实,有的情况下,通过使用支持云模式的软件WAF,也可以实现云WAF。比如在下曾用ShareWAF这款软件WAF给公司实现了私有云WAF,给公司数个网站提供安全防护服务。分析了云WAF的原理后,我们发现云WAF的出现,虽然给网站防护带来了一种新的模式。从安全防护的手段及能力上来看,云WAF仍然是依赖于端节点的硬件设备,并没有本质性的改变。那么,与部署传统的硬件设备相比,使用云WAF究竟带来的是利还是弊?

这也是云WAF最有价值,最为吸引用户的一点。不需要安装任何软件程序或部署硬件设备,只需切换DNS就可以将网站加入到云WAF系统的防护中。而且,云WAF提供商会负责系统维护及防护规则库的更新,管理员不必担心可能会因为疏忽或者黑客使用最新的攻击手段而使网站受到威胁。

云WAF之利(二):提供CDN功能网站访问速率是评估一个网站业务能力的重要指标。一些大型的网站为了提升访问速率,往往会使用CDN服务。规模较大的云WAF系统都是以分布式计算为基础架构,采用跨运营商的多线智能解析调度,将单点网站资源动态负载至全国的云端节点,用户访问流量被引导至最近的云端节点。并且通过对请求的动态内容优化压缩,静态内容分布缓存,为用户提供CDN服务,提升网站的访问速度。以上两点,让部分用户对云WAF“一见钟情”。但是从更专业的角度考量,在这些特性背后,云WAF同样存在着严重的问题。

云WAF之弊(一):系统存在被轻易绕过的风险众所周知,本地WAF对网站实施保护,主要采用的是反向代理技术。通过配置代理端口并设定地址映射规则,达到隐藏真实服务器的目的。然而不同的是,云WAF系统需要依赖于DNS进行访问调度。网站的所有访问流量只有经过指定的DNS服务器解析后才会被牵引到云WAF系统的防护节点进行过滤。这样一来,如果黑客利用相关手段获取到原始WEB服务器的IP地址,然后通过强制解析域名的方式,就可以轻松的绕过云WAF系统对原始服务器实施攻击。

云WAF之弊(二):系统的可靠性欠缺保障云WAF系统处理一次网站访问请求,至少需要经过DNS解析、请求调度、流量过滤等环节。其中涉及多个系统的协同关联作业。只要有一个环节出现问题,就会导致网站无法正常访问。目前云WAF系统还没有相对完善的机制解决此类问题,必要时只能手动将域名解析权切换回原DNS服务器,使得网站流量不经过云WAF系统。但是域名解析权切换生效是需要一定的时间。这种方式与硬件设备的Bypass功能相比,显然效率会低很多。

云WAF之弊(三):网站访问数据的保密性较低网站访问数据对于一些企业机构来说是保密且重要的数据。因为里面可能包含了用户的隐私以及市场信息。把这些数据存储在本地自己管控相对会比较安全。但是,如果网站使用了云WAF系统,网站的所有访问数据都会被记录在端节点并上传到控制中心,相当于把数据交给了别人保管,会存在严重的泄密风险。

分析利弊后,我们发现,云WAF目前还只适用于一些安全需求较低的中小企业网站或个人网站。对于一些安全需求较高的网站,像政府、金融、运营商等,无论从政策法规上还是业务特性上看,云WAF都无法满足要求。所以建议广大网站管理者,需要根据网站的实际情况,明确需求,选择最为合适的安全产品和服务。
(责任编辑:fqj)

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 云安全
    +关注

    关注

    0

    文章

    102

    浏览量

    19436
  • 云服务
    +关注

    关注

    0

    文章

    820

    浏览量

    38911
收藏 人收藏

    评论

    相关推荐

    入门web安全笔记分享

    在计算机技术如日中天的今天,Web安全问题也接踵而来。但Web安全却“入门简单精通难”,涉及技术非常多且广,学习阻力很大。 为此今天分享一份94页的《
    的头像 发表于 12-03 17:04 260次阅读
    入门<b class='flag-5'>web</b><b class='flag-5'>安全</b>笔记分享

    龙芯中科与安天WEB应用防护系统V3.0完成适配认证工作

    为满足用户对场景化业务安全的高需求,近日,龙芯中科与安天WEB应用防护系统V3.0完成适配认证工作。安天WEB应用防护系统V3.0以“积极防
    的头像 发表于 11-22 16:34 281次阅读

    伺服驱动器的安全防护措施

    伺服驱动器作为工业自动化系统中的核心部件,其安全性直接关系到整个系统的稳定性和可靠性。本文将探讨伺服驱动器的安全防护措施,包括电气安全、机械安全、软件
    的头像 发表于 11-04 15:25 387次阅读

    最有效的服务器网络安全防护措施

    服务器网络安全防护措施是确保服务稳定性和数据安全的关键环节,最有效的服务器网络安全防护措施
    的头像 发表于 10-31 09:51 229次阅读

    越界智能监测摄像机:安全防护的新利器

    随着社会的快速发展,安全问题日益凸显,尤其是在公共场所和重要设施周边,如何有效防范非法入侵和潜在威胁成为了亟待解决的难题。越界智能监测摄像机应运而生,以其先进的技术和强大的功能,为安全防护提供了全新
    的头像 发表于 10-09 09:57 219次阅读
    越界智能监测摄像机:<b class='flag-5'>安全防护</b>的新利器

    电气安全防护有哪些

    在现代社会,电力的广泛应用使得我们的生活和工作变得更加便捷和高效。然而,电力的使用也伴随着一定的风险,特别是当电气安全防护措施不到位时,可能会发生严重的电气事故。这些事故不仅可能导致设备的损坏,还可
    的头像 发表于 08-27 16:54 677次阅读

    WAAP替代传统WAF已成趋势

    Application and API Protection)平台的出现,标志着网络安全领域从WAF到WAAP的转变,为企业提供了更为全面和高效的安全防护。 传统WAF难以满足
    的头像 发表于 07-29 15:03 272次阅读
    WAAP替代传统<b class='flag-5'>WAF</b>已成趋势

    华为 618 营销季下一体化安全解决方案,打造高效、安全管理平台

    解决方案,帮助企业不断完善安全能力,护航企业上行稳致远。 通过采用“下一体化”模式,华为将云端与本地资源进行深度融合,实现企业内外
    的头像 发表于 06-25 16:56 396次阅读

    亚马逊科技发布多项全新安全服务功能

    在近日举行的re:Inforce 2024全球大会上,亚马逊科技宣布了一系列安全服务的新功能,旨在为用户提供更强大、更便捷的安全防护
    的头像 发表于 06-12 17:56 930次阅读

    华企盾DSC防泄密系统:多重安全防护,保障企业数据无忧

    在当今信息化快速发展的时代,随着企业数据规模和数据类型的不断增加,数据安全问题变得越来越重要,已经成为了一个不容忽视的焦点话题。华企盾DSC防泄密系统是一款专业的数据安全防护解决方案,主要面向企业
    的头像 发表于 05-30 11:09 384次阅读

    以守为攻,零信任安全防护能力的新范式

    (Zero Trust Security)被提出,并逐渐成为提升网络安全防护能力的新范式。本文主要探讨攻击路径的演变、零信任体系在各个阶段的防护作用,并探讨零信任体系未来可能的发展方向。 攻击路径 攻击路径是指攻击者利用一系列的步骤和方法,在
    的头像 发表于 05-27 10:18 971次阅读
    以守为攻,零信任<b class='flag-5'>安全防护</b>能力的新范式

    寻迹智行机器人安全防护技术提高工厂整体搬运效率!

    搬运机器人的安全防护技术旨在通过人员、机器、物料、环境的和谐运作,使搬运过程中潜在的各种事故风险和伤害因素始终处于有效控制状态,它对于确保人员、机器设备、物料以及周围环境的安全具有至关重要的作用。
    的头像 发表于 04-03 11:01 427次阅读
    寻迹智行机器人<b class='flag-5'>安全防护</b>技术提高工厂整体搬运效率!

    华为开年采购季下一体化安全解决方案,打造高效、安全管理平台

    下一体化安全解决方案,帮助企业不断完善安全能力,护航企业上行稳致远。 通过采用“下一体化”模式,华为
    的头像 发表于 03-15 17:43 426次阅读

    知语云全景监测技术:现代安全防护的全面解决方案

    是一种先进的安全防护手段,它集成了大数据分析、人工智能、计算等尖端技术,能够实时监测网络环境中的各种安全风险,为企业和个人的数据安全提供坚
    发表于 02-23 16:40

    方形锂电池和圆形锂电池在安全防护上的区别

    方形锂电池和圆形锂电池在安全防护上的区别 方形锂电池和圆形锂电池都是目前应用最广泛的锂电池,它们在构造和使用过程中有着一些不同之处。其中一个主要的区别是在安全防护方面。本文将详尽地探讨方形锂电池
    的头像 发表于 01-10 13:41 869次阅读