目前，由于受到种种潜在利益的驱动，Web应用程序已然成为攻击者的首要目标。Web应用程序上的安全漏洞有可能造成数百万美元损失。令人惊讶的是，与DNS（域名系统）有关的服务中断和分布式拒绝服务（DDoS）攻击会给业务带来严重的负面影响。在众多应对策略中，Web应用程序防火墙（WAF）无疑扮演着最重要的首道防线角色。

　　Web应用程序防火墙的基本功能是建立一道坚固的防线，以防止某些恶意流量任意攫取资源。尽管WAF技术自上世纪九十年代末就已诞生，然而早期技术成果早已无法适应如今愈发复杂的网络攻击活动。随着安全风险的不断提升，新一代Web应用程序防火墙已然成为唯一值得信赖的防护方案。

　　01

　　传统WAF正走向消亡

　　早期，Web应用程序还相对少见，因此由Web带来的威胁也不明显。那时的恶意程序复杂度较低，而且易于检测。网络安全需求量较少，并且通过基本的网络安全管理即可满足。

　　如今，一切已经不复当初。Web应用程序可能部署在本地、云上乃至混合环境当中。客户及员工可以从任意位置通过网络加以访问。由于IP地址不断变化并被CDN所屏蔽，防火墙很难跟踪当前正在发生什么、请求的具体来源以及确切去向。

　　面对种种挑战及复杂威胁，WAF自然有必要扛起防御的大旗。但传统WAF主要由独立的硬件设备实现，这些硬件设备难以使用、可视性较差并且性能较低。事实上，高达90%的组织表示其WAF过于复杂。

　　根据Ponemon研究所发布的报告，有65%的组织曾遭遇过WAF绕过问题，只有9%的组织表示其WAF从未失效。然而，这并不能够保证他们会永远不会遭遇这种问题。因此，所有公司都应该重视自身WAF的效能与安全保障水平。

　　Ponemon的研究报告还指出，只有40%的受访者对其现有WAF感到满意，意味着这类方案一直未能得到充分利用。实际上有部分企业表示他们只是使用WAF生成安全警报，而从未将其真正用于阻止可疑活动。

　　最糟糕的是，组织本身甚至可能被WAF所拖垮——对于这样一种耗资甚巨的资产，组织对于WAF乏善可陈的安全增强表现感到无可奈何。为了解决这方面难题，新一代Web应用程序防火墙应运而生。

　　02

　　传统WAF面临的挑战

　　从业者们经常强调，他们之所以选择从传统Web应用程序防火墙转向下一代WAF，主要基于以下几点重要考量：

　　1、技术创新

　　Web应用程序标准一直在不断变化，这就提高了用户对于WAF的功能要求。

　　JSON有效载荷与HTTP/2的日趋普及，迫使大部分Web应用程序防火墙供应商必须努力跟上。在市场对于安全产品创新的需求压力之下，相当一部分WAF供应商已经逐渐被时代所抛弃。

　　2、缺乏可扩展性

　　组织对于网络扩展能力的要求，往往带来更高的成本、更长的时间投入与更复杂的管理流程。以此为基础，设备集群的部署与维护都变得难于打理。

　　DevOps与敏捷方法也要求组织对集群进行统一的重新配置与重新调整，这一切都将进一步占用本就十分紧张的安全资源。

　　3、零日漏洞的利用

　　虽然WAF能够有效监控Web流量以防止针对HTTP的攻击，但面对零日攻击时却束手无策。WAF的基本设计思路在于根据预先配置的模式进行恶意活动检测，但零日漏洞却可能被任意攻击者所利用，导致预配置模式在攻击面前始终不起作用。

　　4、阻断合法流量

　　大多数WAF用户还抱怨称，传统WAF经常会无缘无故就阻断合法流量，即引发所谓误报问题。尽管这种状况在安全层面看似无害，但却可能给组织本身带来灾难性的影响。由于一部分访问者无法正常获取应用功能、上传媒体数据或者购买产品，他们往往会转向其他厂商，引发严重的客户流失。

　　一种可行的应对办法，在于尽可能减少安全模式的应用数量。但这往往又会增加网络的运行风险。大多数WAF解决方案很难在这两个极端之间找到完美平衡。除非投入专门的资源进行管理，否则组织几乎无法充分发挥传统WAF的价值。这也成为传统WAF与新一代WAF之间的最大差异所在。

　　5、DDoS攻击

　　最重要的是，DDoS攻击也给WAF带来了困扰。我们发现不少组织在使用WAF抵御DDoS攻击，并号称能够借此获得良好的保护效果。

　　但问题在于，传统WAF在自身设置上并不足以抵挡大规模DDoS攻击。另外，现有应用程序往往由第三方平台共享/提供，因此无法立足本地防御层加以保护。如果没有基于云的WAF，您将很难提前规划容量；即使有所规划，容量仍存在明确上限，往往不足以消化掉瞬间涌现的恶意流量。

　　云WAF（特别是托管型云WAF）拥有更强的规模伸缩能力。企业只需要根据实际资源使用量付费，而不必为未来可能需要的容量预先投入固定成本。

　　03

　　新一代WAF的基本功能

　　尽管众多WAF供应商都宣称提供下一代WAF产品，但其中大多延续与传统WAF相同的安全模式，因此不能算是真正的下一代方案。我们可以将下一代WAF的基本功能及特性总结如下：

　　1、应用程序与Web使用控制

　　应用程序与Web使用控制解决了“哪些流量类型需要阻断？”这一核心问题。下一代WAF将使用多种标识类别对跨网络站点及应用内的往来流量进行身份标记，进而确定应如何处理。

　　准确的流量分类无疑是下一代WAF的核心功能，有助于防止组织访问各类恶意、不相关或者可能造成法律纠纷的网站及应用。

　　2、高级Web应用程序安全分析

　　基于云的WAF不仅能够解决困扰大多数Web应用程序的新兴攻击活动，同时也能够在威胁可见性及分析层面做出持续改进。在传统WAF中，企业通常会对已有的问题视而不见，假装一切风平浪静，直到问题发生。

　　新一代WAF能够实时监控性能指标，突出展示基础设施、应用程序以及最终用户群体内正在发生的一切。您可以在问题真正出现之前做出反应，并相信WAF能够始终按照预期方式运行。

　　3、Web应用程序安全评估与恶意软件检测

　　新一代防火墙充分意识到，即使合法有效的站点也有可能存在某些不为人知的漏洞，甚至可能链接至恶意软件站点及恶意负载处。此外，企业有时还希望对社交媒体平台授予访问权限，而这些平台上往往也充斥着恶意链接或文件。

　　在这种情况下，能够提供与应用风险紧密关联的WAF策略、并持续加以迭代的新一代WAF将拥有传统方案所无法比拟的优势。

　　4、全球威胁情报

　　这种基于云的安全平台能够充分利用覆盖全球的部署体系，全面了解世界范围内的流量变化趋势。它会监控并分析所有流量，当在一个位置发现安全威胁之后，随机会对全球所有部署节点进行更新与强化。

　　5、自动干预

　　基于云的WAF不仅可以通过预定义的策略与签名实现流量阻断，同时也提供托管服务，供用户根据风险需求准确建立自定义规则。新一代WAF以实时模式及行为分析为基础，持续监控并自动过滤出合法请求与恶意流量。此外，它还能提供虚拟补丁程序，借此预防零日漏洞利用等安全隐患。

　　04

　　展望未来

　　传统WAF与新一代WAF之间有着一系列的关键差异。如今的攻击者早已熟知传统WAF的特性，善于寻找漏洞、入侵Web应用程序。因此，请选择新一代WAF为您带来的高级Web保护功能，在维持业务正常运行的前提下迎接安全层面上的良好投资回报。