关于WAF（Web应用程序防火墙）

WAF（Web应用程序防火墙）无疑是过去几十年里应用最广泛、最成熟的网络安全产品之一，大部分拥有Web应用程序的组织都会部署应用WAF，以保护数据和资产避免被非法闯入。然而，随着DevOps敏捷应用开发时代的到来，很多人认为WAF将风光不再，因为它不仅难以跟上当前Web应用系统不断加快的发布更新节奏，还会带来复杂又费力的系统维护压力。

大量实践经验表明，将安全功能完全内置到应用程序中的“安全左移”模式，并不能适用于所有的Web应用系统；很多由第三方研发提供的应用系统也需要在其运行时进行额外的威胁控制；同时，WAF系统本身也在不断的进化，新一代WAF系统的保护能力和范围已经远远超出我们的传统认知，它们甚至不仅是一种安全方案，还可以成为一种为业务赋能的工具。

在此背景下，安全专业论坛“cybertalk.org”日前刊文指出，网络安全决策者应该充分了解，WAF仍然会是企业组织未来高级网络安全战略中不可或缺的组成部分，通过使用WAF可以为企业的数字化业务发展带来以下帮助：

法规遵从是现代企业开展网络安全能力建设的主要推动因素之一，而通过使用WAF系统，组织能够更轻松地满足监管部门所制定的法律合规要求，因为它们提供了较全面的Web应用安全控制措施，并可以提供详细的系统审计日志。

几乎所有的WAF系统都能够提供的细粒度日志记录和报告功能，组织可以清晰的表明在保护敏感数据方面所做的努力和工作。此外，目前大多数WAF系统都可以自定义的设置防护规则集，能够满足不断变化的合规要求，因而使组织更容易保持合规状态。

WAF可以有效应对大多数的已知应用层攻击类型，特别是对OWASP十大威胁列表中的严重漏洞威胁，WAF系统在防护时基本上不需要调优，且误报率很低。因为WAF能够不断更新规则库信息，与最新的OWASP安全指导方针保持一致，从而降低已知攻击得逞的可能性。

当前新一代的WAF系统，已普遍针对API特有的威胁特点提供了专门的保护措施，能够确保API数据交换的完整性。WAF可以快速识别并阻止API参数篡改等威胁，并发现可能表明API滥用的异常行为模式。在一些多功能的WAF系统中，还添加了理解和验证复杂API调用的能力，确保Web应用系统只处理合法的API调用请求。这些先进的WAF系统还可以执行针对不同API端点的速率限制和访问控制。

通过使用新一代WAF系统，组织可以准确识别恶意的机器人程序流量和合法的机器人程序流量，防止DDoS威胁、凭据填充和内容抓取等威胁。WAF系统的这项新功能对企业而言，正变得越来越重要，因为机器人程序正以前所未有的方式在网上肆虐，并对组织的经营收入和客户体验产生了严重的负面影响。

新一代的WAF系统可以利用实时威胁情报和机器学习技术来分析流量模式，从而针对新出现的威胁提供保护，从而使组织能够在大规模攻击发生之前应对恶意情形。

通过WAF系统提供的安全防护能力，组织可以在系统上线后在应用层发现并阻止漏洞，这在很大程度上降低了开发或IT团队的安全压力，使其能够专注于核心业务功能的实现，而不是在开发过程中反复不断的修补安全问题。

尽管这和“安全左移”理念有一定冲突，但通过降低开发人员的安全压力，无疑可以加快业务系统的上线周期。此外，通过WAF提供的威胁检测信息，也可以帮助开发人员了解常见的应用攻击模式，让所有人了解如何开展更好的安全实践。

在很多高级的WAF系统中，会允许用户灵活地创建和调整针对组织特定业务需求的防护规则。这种定制化能力带来很大的灵活性，便于适应独特的应用软件体系结构和流量模式，尽量减少误报，同时又保持业务系统运营的高可靠性。

组织可以创建规则来处理其业务特有的威胁，比如防止应用软件特有的业务逻辑攻击。在执行新规则之前，WAF系统能够在受监控模式下逐步实施和测试新规则，确保了安全措施的变更不会破坏正常的业务系统运营。

企业经常需要在安全性和系统可用性之间进行取舍，而在许多新型WAF系统中，内置了先进的内容分发网络（CDN）功能，能够在保持Web应用安全性的同时，提高了应用软件的工作性能和用户体验。

通过缓存内容分发技术，可以显著缩短Web应用的延迟，缩短页面的加载实践，从而增强用户的体验感。这种安全性和性能优化的双重体现正是新一代WAF系统的诱人卖点。组织可以通过单一的网络安全解决方案来同时改进Web应用的安全态势和用户满意度。

新一代WAF系统能够提供与流量模式、攻击趋势和应用软件行为有关的多种安全运营态势观察和分析能力，并以此给出安全运营人员明确的行动建议。这些洞察有助于企业组织持续改进安全态势，为主动风险评估提供信息依据，并帮助网络安全人员更好地分配安全资源。

随着企业组织不断向云计算平台迁移，面向云环境的WAF系统可确保跨混合云和多云基础设施提供一致的Web应用保护。此外，不断云化的WAF系统还可以随应用软件自动扩展，在流量高峰或云迅速扩展时提供始终如一的保护。

云WAF能够提供集中管理，这简化了企业的安全管理工作，并确保策略得到一致的执行。凭借实际可用的功能特性，云WAF可以更有效地防护层出不穷的威胁。

• 教育 | 人才兴皖信创行研讨会在蚌埠学院举办

• 网络安全技术软件产品开源代码安全评价方法

• 更新网络安全意识培训PPT及测试题

• AI代理能否重塑网络安全防御未来

• 绘制网络安全运营的“谷歌地图”

• 教育 | 首个信创生态解决方案白皮书（附下载）

• 2024年数字身份管理的三大趋势

• 银行金融机构数据治理体系制度建设

• 等保测评 | 什么是网络安全等级保护测评

• 卫生健康行业医疗机构场景密码应用与安全性评估实施指南