過去企業(yè)通常會采用防火墻,作為安全保障的第一道防線。當(dāng)時的防火墻只是在第三層(網(wǎng)絡(luò)層)有效的阻斷一些數(shù)據(jù)包,而隨著web應(yīng)用的功能越來越豐富的時候,Web服務(wù)器因為其強(qiáng)大的計算能力,處理性能,蘊(yùn)含較高的價值,成為主要的被攻擊目標(biāo)(第五層應(yīng)用層)。而服務(wù)器監(jiān)控時,傳統(tǒng)防火墻在阻止利用應(yīng)用程序漏洞進(jìn)行的攻擊方面,卻沒有辦法。在此背景下,waf(Web
Application Firewall)應(yīng)運(yùn)而生。
阿里云waf和防火墻:http://www.ukunilife.com/
WAF和防火墻的區(qū)別:
waf稱為web應(yīng)用防火墻,是通過執(zhí)行一系列針對HTTP,HTTPS的安全策略,來專門對web應(yīng)用,提供保護(hù)的一款產(chǎn)品。WAF初期是基于規(guī)則防護(hù)的防護(hù)設(shè)備;基于規(guī)則的防護(hù),可以提供各種web應(yīng)用的安全規(guī)則,waf生產(chǎn)商去維護(hù)這個規(guī)則庫,并實時為其更新,用戶按照這些規(guī)則,可以對應(yīng)用進(jìn)行全方面的保護(hù)。
但隨著攻防雙方的不斷過招,攻擊者也摸清了,這一套傳統(tǒng)的防御體系,隨著使用各種各樣的繞過技巧,打破了這套防線,同上這套防護(hù)思路,還有一個天生的缺陷,就是難以攔截未知的攻擊。因此技術(shù)的革新也是必然的。在這幾年WAF領(lǐng)域出現(xiàn)了很多新的技術(shù),譬如通過數(shù)據(jù)建模學(xué)習(xí)企業(yè)自身業(yè)務(wù),從而阻攔與其業(yè)務(wù)特征不匹配的請求;或者使用智能語音分析引擎,從語音本質(zhì)去了解。無論是用已知漏洞攻擊利用程序,還是未知攻擊,都可以精準(zhǔn)的識別。
個人和中小企業(yè)站點(diǎn)是否需要WAF?
在網(wǎng)絡(luò)安全法規(guī)范中:單位或個人建立、運(yùn)營網(wǎng)站,則有義務(wù)保證網(wǎng)站運(yùn)行正常。如果網(wǎng)站被攻擊、被入侵,散播出不良言論、帶來不良影響、或網(wǎng)站以不良形象示人。那么可能會給國家、社會或他人,帶來不良影響。如果發(fā)生此種情況,相關(guān)單位、責(zé)任人需承擔(dān)相應(yīng)的法律責(zé)任。
可想而知,網(wǎng)站不做防護(hù),違法了、后果很嚴(yán)重:相關(guān)負(fù)責(zé)人可能會被罰款、處罰,相關(guān)企業(yè)可能被停業(yè)、吊銷營業(yè)執(zhí)照。這還不考慮網(wǎng)站防護(hù)的真實需求,只是從法律法規(guī)層面來看而已。可能很多人不以為然,僥幸心理使然,認(rèn)為只是個規(guī)定而已,不會查到自己頭上。
是嗎?不!國家是認(rèn)真的,各地已相繼展開等保核查工作,公安、網(wǎng)安已經(jīng)出動。也就是說:無論是出于真實的安全需求、保護(hù)網(wǎng)站安全,還是為了符合法律要求,做為網(wǎng)站的運(yùn)營者,都必須要滿足等保要求、都必須給網(wǎng)站做安全防護(hù)了。
沒有WAF的IDC會怎么樣?
坦言:會相當(dāng)被動。以往,沒有等保要求的情況下,很多客戶是不在意安全問題的,許多小中企業(yè)只是架個企業(yè)靜態(tài)官網(wǎng),做什么安防呢,沒那資金預(yù)算,也不在意安全問題:被黑了、網(wǎng)站被改了、掛馬了?大不了重上傳一下網(wǎng)站,無所謂的事。
但現(xiàn)在不一樣了,如前文所述,如果發(fā)現(xiàn)上述問題,問題就大了。舉例而言:就算是個小網(wǎng)站,沒有太多的數(shù)據(jù)、太多的敏感信息,如果網(wǎng)站被修改,網(wǎng)頁出現(xiàn)了不良言論、不法言論、不實消息、色情等等,在公安、網(wǎng)安的視角:會造成不良的社會影響、甚至對國家造成負(fù)面影響等。
如是大網(wǎng)站,數(shù)據(jù)泄露、敏感信息流出,更是非常嚴(yán)重的問題,誰知是不是境外勢力的故意滲透、誰知道會被獲取什么信息、誰知道數(shù)據(jù)會被用于什么方面:釣魚?電信詐騙……所以為防患于未然,網(wǎng)絡(luò)安全法、等保要求:網(wǎng)站防護(hù),必須的!若不執(zhí)行,就是公安、網(wǎng)安上門。
那網(wǎng)站服務(wù)器如何添加防護(hù)呢?
當(dāng)然是上WAF(WEB應(yīng)用防火墻:Web Application Firewall)。如何上WAF?WAF有三種:軟件、云、硬件。
1、硬件WAF:就是買臺硬件WAF,接在自己的WEB服務(wù)器之前。但一般中小企業(yè)、個人是沒有自己的服務(wù)器的,都是用IDC的云服務(wù)器、虛擬主機(jī),這里就不多講了,不是本文主題。
2、軟件WAF:就是自己在服務(wù)器上部署軟件WAF,需要自己動手豐衣足食。
3、云WAF:就是用IDC(云服務(wù)器、虛擬主機(jī)的提供方)的云WAF功能或平臺。
IDC與云WAF密切相關(guān),國內(nèi)絕大多數(shù)的網(wǎng)站運(yùn)營者,都使用IDC提供的網(wǎng)站服務(wù)。國內(nèi)外大大小小的IDC有數(shù)百家。客戶選擇其WEB服務(wù)后,可以方便的使用其提供的云WAF,滿足真實防護(hù)需求和等保要求(不考慮價格因素的情況下,如不愿意承受其高價格,也可自己部署軟件WAF,如:ShareWAF)。
但更多的IDC是價格更為實惠的區(qū)域性的中小IDC。這些IDC通常是沒有WAF功能的,究其原因:很多IDC是代理商,沒有太多技術(shù)實力,更別說門檻很高的WAF產(chǎn)品研發(fā)能力,所以無法提供WAF功能,再一個重要原因:還未有足夠的認(rèn)識和重視。
在這種情況之下,客戶對自身網(wǎng)站的防護(hù)需求,是真實的,是剛需。如果服務(wù)器供應(yīng)商不能提供WAF功能或云WAF,客戶怎么辦?
方案1、自己部署WAF,自己維護(hù);問題:有技術(shù)要求,不是所有客戶都有技術(shù)人員。
方案2、接入其它IDC的云WAF;問題:非同一IDC的服務(wù),會給訪問速度帶來嚴(yán)重影響,維護(hù)也麻煩。客戶:我為什么不選擇那家有WAF服務(wù)的IDC?遷移。
方案3、不防了,裸奔算了。問題:客戶會顧慮重重,說不定哪天就被網(wǎng)安查了,要么,干脆不要這站了。
以上,如果不提供WAF,IDC會相當(dāng)被動,將面臨:已有客戶流失,未來客戶越來越少,甚至無法生存下去。
所以,IDC必須有WAF!如何才能有呢?
自研,只適合有技術(shù)實力、有安全知識儲備的IDC。而且WAF領(lǐng)域,門檻較高,需要足夠的技術(shù)儲備和不短的開發(fā)測試周期。收購WAF,資金充足產(chǎn)的IDC可以嘗試收購成熟的WAF產(chǎn)品,以金錢換時間,一步到位。
合作,跟國內(nèi)的WAF方合作,由WAF方提供產(chǎn)品(或OEM)或技術(shù)支持。
總結(jié),網(wǎng)絡(luò)安全就是國家安全,網(wǎng)絡(luò)的主體是網(wǎng)站,網(wǎng)站安全了,網(wǎng)絡(luò)就安全了!這是國家層面的策略。做為網(wǎng)絡(luò)環(huán)境的極重要一環(huán):IDC,提供安全,理情之中。這或許會是IDC行業(yè)洗牌的開始,是風(fēng)險,也是機(jī)遇。
上一篇:
2024年IDC數(shù)據(jù)中心7大發(fā)展方向
下一篇:
“免備案cdn”如何使用國內(nèi)節(jié)點(diǎn)加速?
