關於報告
近年來,針對Web應用的攻擊已成為企業面臨的主要安全問題之一。網絡安全攻擊有75%都是發生在Web應用層而非網絡層面上,約2/3的Web站點都相當脆弱,易受攻擊。而WAF(Web Application Firewall,即Web應用防火牆),是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。
國內企業的Web安全現狀如何?使用WAF解決方案時有何困惑?期望後續的產品增強哪方面的能力?《2020年國內WAF產品研究報告》通過現場走訪、資料整合及問卷調查的形式,對國內近百家企業的WAF使用情況進行對比分析,總結國內WAF產品的基本現狀,並嘗試對其發展趨勢進行評估和預測,為企業安全建設提供有效參考。
關於FreeBuf諮詢
FreeBUF:鬥象科技旗下國內領先的互聯網安全新媒體,每日發佈專業的安全資訊、技術剖析,分享國內外安全資源與行業洞見,是深受安全從業者與愛好者關注的網絡安全網站與社區。
FreeBuf諮詢集結了安全行業經驗豐富的安全專家和分析師,常年對信息安全技術、行業動態保持追蹤,洞悉安全行業現狀和趨勢,呈現最專業的研究與諮詢服務。
編者 徐鍾豪 鮑弘捷 施東奇 周雪靜 姚媛
第一章 前言
近年來,針對Web應用的攻擊已成為企業面臨的主要安全問題之一。Gartner的數據顯示,網絡安全攻擊有75%都是發生在Web應用層而非網絡層面上,約2/3的Web站點都相當脆弱,易受攻擊。而WAF(Web Application Firewall,即Web應用防火牆),是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。
通常來說,WAF承擔了抵禦常見Web攻擊的作用,是大多數互聯網公司Web防禦體系中最重要的一環,像一名盡職的保安,作為第一道防線守護業務的安全。2020年,市面上提供WAF方案的廠商依然很多,WAF仍是大多數企業用戶部署的必選項。
國內企業的Web安全現狀如何?使用WAF解決方案時有何困惑?期望後續的產品增強哪方面的能力?本報告將通過現場走訪、資料整合及問卷調查的形式,對國內近百家企業的WAF使用情況進行對比分析,總結國內WAF產品的基本現狀,並嘗試對其發展趨勢進行評估和預測,為企業安全建設提供有效參考。
第二章 國內 WAF 產品現狀分析
2.1 部署WAF的必要性
企業Web業務系統面臨的安全問題主要有以下幾個方面:
1、開發時期遺留問題
由於Web應用程序的編寫人員,在編程的過程中沒有考慮到安全的因素,使得黑客能夠利用這些漏洞發起對網站的攻擊,比如SQL注入、跨站腳本攻擊等。
2、Web中間件漏洞問題
Web系統包括底層的操作系統和Web業務常用的發佈系統(如IIS、Apache),這些系統本身存在諸多的安全漏洞,利用好這些漏洞,可以給入侵者可乘之機。
3、運維管理中的問題
業務系統中由於管理的問題也存在諸多安全隱患,如弱口令嗅探、備份文件洩露,.git文件洩露等等,導致黑客、病毒可以利用這些缺陷對網站進行攻擊。
4、破壞手段多樣問題
Web系統所處的環境的網絡安全狀況也影響著Web系統的安全,比如網絡中存在的DDoS攻擊,或者存在感染病毒木馬的終端,給黑客提供可利用的跳板等,這些內網自身的安全問題同樣會影響到Web系統的穩定運行。
遭受Web攻擊往往會導致頁面被篡改、業務癱瘓、用戶數據洩露等嚴重問題,對企業的經濟利益及聲譽造成重大損害。縱觀近年來的重大網絡安全事件,也不難發現上到政府單位、跨國巨頭,下到普通企業及個人用戶,都可能遭遇網絡攻擊,且從以上案例來看,事後處置的代價,無一例外都遠遠高於事前防護的成本:
2017年5月,全球爆發大規模勒索軟件WannaCry攻擊事件,超過30萬臺電腦受到攻擊,波及包括英國、俄羅斯、中國、美國等在內的150個國家,涉及能源、電力、交通、醫療、教育等多個重點行業領域;
2018年2月,韓國平昌冬奧會開幕式當天遭遇黑客攻擊,此次攻擊造成網絡中斷,廣播系統和奧運會官網均無法正常運作,許多觀眾無法打印開幕式門票,最終未能正常入場;
2018年3月,Facebook數據洩露,8700多萬用戶數據被販賣。數天後,Facebook股價大跌,市值蒸發360億美元;
2019年2月,湖南某醫院遭遇勒索攻擊,導致大批患者滯留,無法正常就醫;
2019年3月,委內瑞拉發生包括首都加拉加斯在內的18個州範圍的電力中斷,持續超過24小時,導致地鐵無法運行和大規模的交通擁堵,加拉加斯機場、醫院、移動網絡等基礎設施均受到極大影響;
2019年6月,美國《紐約時報》爆料稱,美政府官員承認,早在2012年就已在俄羅斯電網中植入病毒程序,可隨時發起網絡攻擊。報道隨即引發相關國家的高度關注和國際輿論的廣泛猜測
政策法規層面,自2017年6月1日以來,《中華人民共和國網絡安全法》實施兩年有餘,其明確規定單位或個人建立、運營網站,有義務保證網站運行正常,網絡安全法中指出等級保護工作的核心內容包括關鍵信息基礎設施的安全保護義務(第三十四條 運營者設置專門機構和負責人、網絡安全教育培訓、容災備份、應急預案和演練等)和敏感信息保護(第三十七條 境內收集產生的個人信息和重要數據應當在境內存儲。確需向境外提供的,應進行安全評估)。
如果網站運營者重視不足,未使用合理的防護手段,一旦網站被入侵,可能造成業務癱瘓、數據洩露、散播出不良言論等惡性事件。如果發生此類情況,相關單位、責任人需承擔相應的法律責任,其執法行為已走向常態,執法案例比比皆是,將對企業的運行和聲譽造成極大的負面影響。
綜上所述,無論是面臨越來越嚴格的監管要求,還是應對日益嚴重的安全威脅,企業部署WAF作為Web安全防護手段不僅必要,且十分緊迫。
2.2 業務場景及功能
綜合國內多款主流WAF產品介紹及實地考察研究,其使用場景主要有:
1、精準訪問控制
明確定義和限制信息系統用戶能夠對資源執行的訪問操作,因此可以有效提供對信息資源的機密性和完整性保護。
2、Web漏洞攻擊防護
惡意訪問者通過SQL注入、XSS、遠程命令執行等手段,入侵網站數據庫,竊取業務數據或其他敏感信息。
3、CC攻擊防護
網站被髮起大量的惡意請求,長時間佔用核心資源,導致網站業務響應緩慢或無法正常提供服務。
4、0day漏洞緩解
第三方框架或插件爆發0day漏洞時,需要通過下發虛擬補丁,第一時間防護由漏洞可能產生的攻擊。
綜合以上來看,一款合格的WAF通常應具備以下功能:
1、HTTP、HTTPS協議的解析和過濾,如協議不同版本的識別和解析、協議參數長度限制等;
2、各類Web攻擊防護,如:SQL注入、XSS跨站、CSRF、網頁後門等;
3、各類自動化攻擊防護,如:暴力破解、撞庫、批量註冊、自動發貼等;
4、阻止其它常見威脅,如:爬蟲、0day攻擊、代碼分析、嗅探、數據篡改、越權訪問、敏感信息洩漏、應用層DDoS、遠程惡意包含、盜鏈、越權、掃描等;
5、其他管理與審計,如安全配置、日誌分析、報表與統計功能等。
2.3 國內企業WAF產品現狀調查
通過對國內近百家大中型企業的調查走訪,我們得以窺視國內企業WAF產品的部署及使用現狀。
1、IT基礎設施
企業的IT基礎設施就像一個大舞臺,舞臺佈置好了,演員們才可以在上面進行表演(信息化應用)。目前主流的IT基礎設施一般來說有以下幾種構建方式:
自建機房的佔比最高,達到38.6%;其次有32.9%的企業將業務部署在公有云;部署在IDC機房的佔比為25.7%;另外,還有2.8%的企業的IT基礎架構部署在混合雲或私有云。
2、邊界防護設備部署情況
由於信息系統自身的複雜性、網絡的廣泛可接入性等因素,系統面臨日益增多的安全威脅,安全問題日益突出。邊界防護作為企業最關鍵的網絡安全防護手段之一在國內得到了非常廣泛的應用,本報告的核心⸺WAF產品也是典型的邊界防護設備。下面就讓我們來看一下受訪企業中都部署了哪些邊界防護設備。
受訪企業中,Web應用防火牆當仁不讓地位居第一位,87.7%的受訪者都部署了WAF產品;第二和第三位分別是入侵檢測/防護及傳統硬件防火牆產品,佔比分別為75.5%和61.2%。
3、WAF的分類
WAF產品從部署形式上來說,大致可以分為硬件型、軟件型、雲WAF三個大類。
① 硬件型
硬件型WAF以一個獨立的硬件設備的形態存在,支持以多種方式(如透明橋接模式、旁路模式、反向代理等)部署到網絡中為後端的Web應用提供安全防護,是最為傳統的WAF型態,在受訪企業中部署佔比為35.2%。相對於軟件產品類的WAF,這類產品的優點是性能好、功能全面、支持多種模式部署等,但它的價格通常比較貴。國內的綠盟、安恆、啟明星辰等老牌廠商旗下的WAF都屬於此類。
② 軟件型
這種類型的WAF採用純軟件的方式實現,特點是安裝簡單,容易使用,成本低。但它的缺點也是顯而易見的,除了性能受到限制外,還可能會存在兼容性、安全等問題。這類WAF的代表有ModSecurity、Naxsi、ShareWAF、安全狗等。
③ 雲WAF
隨著雲計算技術的快速發展,使得基於雲的WAF實現成為可能,在本次調查中佔比甚至超過了傳統的硬件WAF躍升為第一位,達到39.4%。阿里雲、騰訊雲、深信服雲WAF、Imperva WAF是這類WAF的典型代表。
2.4 部署與使用
WAF產品從部署形式上來說,大致可以分為硬件型、軟件型、雲WAF三個大類。
1、部署WAF
使用WAF的第一步是部署。WAF部署總的一個思路是,讓用戶訪問到達網站之前,先經過WAF,讓WAF識別、攔截惡意訪問、攻擊。
WAF的部署模式有三種:反向代理、透明代理、旁路。常用的是反向、透明兩種模式,因為旁路只有監聽功能,不能對訪問進行攔截、沒有防護能力,因此使用的較少。
① 反向代理
反向代理模式下,將WAF部署在了服務器之前,用戶訪問時,不知道服務器的的具體存在,會直接訪問到WAF,如果是惡意請求或攻擊,訪問會被直接攔截,正常的訪問WAF才會向服務器轉發請求。這是最常見的一種部署模式。
② 透明代理
通常只有硬件WAF才會部署為透明代理。透明代理模式下,用戶訪問時不知道WAF的存在,訪問會直接指向真實服務器,但流量到達服務器之前,會隱性地被WAF過濾,只有正常的訪問才會被放行到服務器,惡意的訪問、攻擊都會被攔截。
以上只是簡單的原理性說明,實際情況下,很多時候網絡結構會複雜很多,具體將WAF部署在網絡中的什麼位置,需根據自己情況而定。
2、使用與調試
WAF部署成功後,準備開始使用了。正式使用之前,還有一個配置、調試、測試的過程。
對於傳統WAF而言,需要大量的設置、調整規則。如果規則配置不當,可能會出現誤報,影響業務系統正常運作;可能會漏報,不能很好的起到防護作用。雲WAF則相對簡單很多,將雲WAF綁定到虛擬主機,然後通過控制檯設置頁面,開啟WAF開關即可。
調試、測試全部完成,部署就完成了,WAF就可以開始真正的保護網站安全運行。
2.5 趨勢與展望
WAF依然是目前抵禦Web應用攻擊的大頭:受訪者中大部分企業用戶都部署了WAF。但是從調查結果來看,越來越多的企業對WAF的防禦檢出有效度、影響業務性能、高昂的維護成本等問題並不滿意。
被問到WAF產品在後續開發中應增強哪些能力時,18.5%的企業認為業務安全防護能力首當其衝;16.6%的企業認為WAF產品應該增強情報能力;除此之外,上下文理解能力、AI能力、協同能力、語義分析能力、審計舉證能力等也是受訪企業的關注焦點。
功能方面,集成和共享威脅情報庫是受訪企業最為迫切需求點,其次是針對企業定向攻擊事件的分析和通過掃描器驗證Web攻擊數據的有效性。
此外,81.8%的受訪企業開啟了攔截功能,未開啟的原因則包含擔心誤報、怕影響業務、怕誤殺、尚未上線等。
總的來說,WAF市場的增長潛力仍在,從Gartner對當前Web應用安全狀況的調查來看,WAF仍然是用於保護Web應用的最佳產品。與此同時,新興的WAF產品市場也充滿了挑戰:
1、傳統 WAF 廠商針對非 OWASP Top 10 攻擊防護的響應較慢,尤其那些專注 API 和更復雜的攻擊,比如證書填充、應用邏輯漏洞的利用。
2、越來越多企業正在從實體WAF設備轉向採用獲取服務的方式:包括傳統的託管服務、私有云、IaaS部署的虛擬設備,還有基於雲的SaaS訂閱方案。
到2022年,硬件WAF佔新部署產品的比例將不到10%,如今的比例是30%。
3、越來越多的WAF廠商開始提供額外的解決方案⸺如應用層DDoS防護、bot緩解,甚至還可能包括CDN之類的非安全功能,Gartner將這種新生的融合方案稱作WAAP。
他們預測稱,到2023年,超過30%的Web應用程序和API將受到WAAP服務的保護,這個數字如今只有10%。
4、很多廠商開始著力於WAF更為複雜的分析能力、自動化的調整機制。
第三章 國內主流 WAF 產品名錄
3.1 產品名錄
WAF產品名錄 按廠商名稱拼音首字母排序
雲WAF
硬件類
軟件類
3.2 領先者
入選公司在網絡安全領域深耕多年,擁有大量客戶群體,市場知名度很高。科研實力與發展前景均十分出眾,是該行業當之無愧的領先者。
Imperva
Imperva的SecureSphere Web 應用防火牆(Imperva WAF Gateway)可對業務關鍵 Web 應用程序的所有用戶訪問進行分析,並且保護應用程序及數據免遭攻擊。SecureSphere Web 應用防火牆可動態地瞭解應用程序的“正常”行為,並將其與全球眾包且實時更新的威脅情報關聯起來,以提供卓越的保護。
Imperva Incapsula 通過提供最佳的雲端 Web應用程序防火牆,免去了這些成本。作為 1 級 PCI 認證的 Web 應用程序防火牆,Incap\u0002sula 可提供對黑客和殭屍程序的強有力防禦。藉助最佳的內容傳送網絡,它還提升了網站性能。
創立時間:2002年
員工人數:1001-5000
總部:美國 加利福尼亞 紅杉海岸
產品名稱:SecureSphere Web 應用防火牆、Incapsula(雲WAF)
創始人:Shlomo Kramer,Amichai Shulman,Mickey Boodaei
產品/服務內容:
1、Web應用程序安全:Web應用程序防火牆、DDos防護服務、數據庫安全、文件安全、雲安全、信譽服務、社區防禦系統、欺詐預防、Incapsula SaaS WAF & DDos防護
2、數據庫安全:數據防護和合規、數據庫活動監控、數據庫防火牆、數據庫評估、針對數據庫的用戶權限管理、ADC洞察力、大數據安全
3、文件安全:文件活動監控、文件防火牆、用戶文件權限管理、目錄服務監控、SHAREPOINT安全
4、雲安全:Incapsula、SecureSphere for AWS、Skyfence
融資:已上市
產品優勢
SecureSphere Web 應用防火牆能夠識別惡意植入看上去無害的網站流量的危險並對其採取行動;該網站流量從傳統防禦中偷偷漏掉。這包括攔截技術攻擊,如 SQL 注入、跨站腳本和利用 Web 應用程序漏洞的遠程文件包含;業務邏輯攻擊,如網站抓取和垃圾評論;
殭屍網絡和 DDoS 攻擊;以及在欺詐交易實施前實時避免賬戶接管嘗試。
Imperva Incapsula 通過提供最佳的雲端 Web 應用程序防火牆,免去了這些成本。作為1級PCI認證的 Web應用程序防火牆,Incapsu\u0002la可提供對黑客和殭屍程序的強有力防禦。 藉助最佳的內容傳送網絡,它還提升了網站性能。
差異化特點
Imperva最近發佈了針對API流量和防止賬戶被接管的保護措施,並收購了一個純粹的bot緩解解決方案,這表明Imperva有能力專注於WAF和WAAP潛在買家最相關的威脅載體。
Imperva是少數幾家提供WAF設備和雲WAF服務的供應商之一。Imperva為混合使用內部部署應用程序和雲託管應用程序的組織提供靈活的許可。它使供應商能夠針對更廣泛的用例和組織,更好地管理從WAF設備到雲WAF服務的過渡。
Imperva Cloud WAF提供與許多領先的SIEM解決方案的集成。
未來挑戰
1、Imperva雲服務的核心是WAF。在高級CDN特性、託管DNS、IAM和其他非安全特性方面,它的雲服務落後於領先的CDN競爭對手。
2、Imperva WAF網關不適用於容器環境或谷歌雲。
3、除了API安全策略模塊之外,Imperva的雲WAF安全引擎主要依賴於基於規則的負安全模型。行為分析可以減少誤報的數量,但它還沒有用於檢測以前未發現的攻擊。Imperva的原生機器人緩解功能在基於行為的檢測方面落後於其主要競爭對手。
4、雲WAF無法對文件進行惡意軟件檢測。它不會將HTTP 2流量轉發到源;它會將其降級為HTTP 1.1。
5、Imperva在中國和印度的存在是有限的。客戶反映難以得到當地的支持和及時的答覆。
綠盟科技
綠盟科技下一代WAF,可有效抵禦OWASP Top 10等各類Web安全威脅、應用層DDos攻擊以及保障用戶API安全。提供資產自發現、多引擎聯合防護和策略自動調優的專家系統。並聯合bot緩解、集中管理及MSS for WAF為用戶提供一套完整的Web安全解決方案。
創立時間:2000年4月
員工人數:3000餘人
總部:中國 北京市 海淀區
典型交易規模:10-50萬
產品名稱:綠盟Web應用防火牆
創始人:沈繼業
產品/服務內容:
1、安全防禦類 綠盟Web應用防火牆WAF
2、安全評估類 綠盟安全遠程評估系統RSAS
3、安全防禦類 綠盟網絡入侵防禦系統NIPS
融資:2014年1月29日上市
產品優勢
1、大規模集群部署-綠盟科技WAF支持集群部署,通過與客戶現有負載均衡設備進行無縫對接,當新業務上線及舊業務擴容時無需斷網(可隨時割接),並滿足在報障應急時快速切走流量,對業務無影響,滿足高可用性、高可靠性要求。
2、WAF集中管理-綠盟WAF可以通過集中管理平臺對多臺設備進行統一管理,可對設備統一接入、防護策略批量下發、設備狀態集中監控等功能,滿足大規模部署環境下的集中管理需求。
3、智能檢測引擎-綠盟WAF通過使用機器學習方法的攻擊檢測機制,對海量的攻擊樣本進行學習構建模型,引入誤報率更低、性能更優的智能檢測引擎,降低傳統規則防護難以調和的漏報率和誤報率。
4、海量威脅情報信譽庫-綠盟WAF可與具有42億全球IP資產的綠盟威脅情報中心對接,從而實時獲取豐富的高危信譽IP,在WAF上自動生成防護策略。
5、MSS for WAF-綠盟WAF可以實現與綠盟科技雲安全中心對接和同步,由安全專家團隊協助用戶對網站安全隱患和遭受的攻擊威脅進行7*24小時全天候監控。
差異化特點
1、XML防火牆-通過XML防火牆功能,抵禦XML實體攻擊、基於SOAP的SQL注入攻擊以及驗證提交違規的XML,有效保障用戶的API安全。
2、分級DDos清洗聯動-綠盟WAF支持“基於行為”的DDos防禦能力,同時當面臨海量DDos攻擊時,可自動通知綠盟專業抗D設備進行流量清洗,保障業務高可用。
3、精細化策略配置-綠盟WAF將站點看做用戶的客戶資產,將資產所用的安全策略⸺各種安全規則的集合視為資產的屬性之一,並個策略而失去防護效果。策略模版可以在IP+端口不同、業務環境相似的站點之間進行復用,方便運維。行放行處理,提高客戶的訪問速度和降低對設備性能的壓力
未來挑戰
未來Web安全威脅將更加嚴峻,除傳統漏洞利用外,信息洩露、API防護、越權攻擊,提供hybrid管理能力會對未來Web安全防護及運營形成挑戰。
安恆信息
安恆信息研發的明御Web應用防火牆(簡稱:WAF)是一款專注為網站、APP等Web業務系統提供安全防護的專業應用安全防護產品,對網站及APP業務流量進行多維度、深層次的安全檢測和防護;採用深度機器學習及威脅情報技術,通過主動安全與被動安全相結合方式識別可疑、已知、未知安全威脅, 有效保障網站及APP業務安全可靠運行。
創立時間:2007年5月15日
員工人數:2000
總部:浙江省杭州市
典型交易規模:2-20萬人民幣
產品名稱:明御Web應用防火牆(硬件WAF)、明御雲Web應用防火牆(軟件WAF)、玄武盾(雲WAF)
創始人:範淵
產品/服務內容:
1、應用安全,相關產品包括WAF、防篡改軟件、網站監測平臺、EDR、Web漏掃和主機漏掃、APT、遠程安全評估系統、等報工具箱等產品
2、大數據安全,相關產品包括數據庫審計、數據庫防火牆、SOC、大數據智能安全平臺等產品
3、雲安全,相關產品包括威脅情報服務、玄武盾雲安全防護、雲監測服務、天池雲安全管理平臺、安恆雲等產品
融資:已上市
產品優勢
1、安恆新一代智能WAF具備威脅情報能力,出廠內置90萬條高威脅的情報數據,與雲端威脅情報中心實時聯動更新情報數據,主動發現殭屍IP、掃描IP等惡意IP發起的訪問行為。內置語義分析檢測引擎、機器學習檢測引擎,通過語義分析引擎針對SQL注入、XSS、Webshell攻擊進行安全檢測;通過機器學習引擎建立正常的流量Profifile,實現對正常流量的檢測放行同時對未知攻擊行為的攔截。
2、與其他多款安全產品全面動態聯防,形成立體防禦體系,包括APT產品、大數據分析平臺等產品的安全聯動。
3、內置SSL硬件加速卡,提升HTTPS的處理性能
4、提供針對政務雲、金融雲等私有云/數據中心的超大集群Web應用安全解決方案
差異化特點
1、安恆同時提供硬件WAF及雲WAF服務。基於零部署零運維的SaaS服務模式,10分鐘即可有效接入,通過威脅情報、DDoS防護、Web防護、CC防護、數據防護5大防護模塊為用戶提供防攻擊、防篡改、防癱瘓、防洩露等安全防護。基於硬件WAF和軟件WAF滿足傳統網絡、私有云環境的安全防護需求。
2、安恆新一代智能WAF通過機器學習技術取代傳統WAF的自學習技術,基於統計學算法提高機器學習建模的準確性、穩定性、自動更新的能力,除了保留傳統的構建正常流量Profifile對異常行為進行檢測之外同時也反其道而行之,通過構建的Profifile對正常的流量進行放行處理,提高客戶的訪問速度和降低對設備性能的壓力
3、安恆新一代智能WAF於語義理解的檢測引擎逐步代替傳統的規則,通過語義分析技術實現對輸入內容進行合規性的檢驗,結合上下文的關聯判斷是否屬於攻擊行為。同等檢出率情況下, 誤報率顯著降低,實測誤報率為特徵引擎的5%左右,並且基於語義分析擁有一定的未知威脅的檢測能力
未來挑戰
1、當前WAF在安全防護的誤報率和漏報率方面還有待提高,需要加強對機器學習技術的研究和投入,徹底擺脫對現有傳統安全引擎的依賴,真正做到更智能、易維護,實現對未知攻擊和0day攻擊的檢測識別
2、當前互聯網流量中有50%的bot訪問的網站是惡意的,在所有攻擊事件中,bot惡意訪問佔據了很大一部分比例,包括參與DDoS攻擊、發送垃圾郵件、竊取網站內容、褥羊毛等等,因此對惡意bot的防範成為WAF另外一個關鍵點
3、近幾年隨著國內雲計算的興起,各地在承建政務雲、金融雲等私有云和混合雲,傳統的硬件WAF已無法滿足客戶的安全需求,軟件WAF在雲環境中如何給客戶提供高性能可橫向擴容的集群解決方案,如何滿足雲環境的租戶隔離需求這也是未來需要面對的問題。
奇安信
雲WAF:
1、可以防護網站面臨的 SQL 注入攻擊、跨站腳本攻擊、命令注入攻擊、Web Shell 木馬後門上傳、服務器敏感信息洩露、掃描攻擊等常見的 Web 攻擊。
2、可以防禦攻擊者對網站發起的比如 Syn Flood 攻擊、Tcp Flood 攻擊、NTP 反射放大攻擊等大流量網絡層 DDoS 攻擊;可以針對應用層 CC 攻擊進行防護;提供 DNS 解析服務並提供高防 DNS 能力,以保護網站域名的正常解析。
3、將用戶請求流量及網站響應流量按照配置策略緩存在全國各地的節點機房按照訪問鏈路質量就近響應,以加快數據傳輸速度。
硬件WAF:
1、通過對數據流中包含的相關數據進行自動分析和摘取。可以自動學習到網站域名、網站服務器IP地址、服務器端口等相關信息,並自動生成防護列表。
2、軟硬件相結合方式實現網頁防篡改,對於網站的“讀、寫”權限進行封鎖,實時監控網頁狀態和網絡狀態,一旦發生網絡中斷網頁防篡改自動鎖定頁面,當發現篡改行為時第一時間還原網頁內容,保障網頁真實性。
創立時間:2014年
員工人數:8000
總部:中國北京
典型交易規模:10-30萬人民幣/年
產品名稱:奇安信Web 應用防火牆(硬件WAF)+安域Web應用安全雲防護系統(雲WAF)
創始人:齊向東
產品/服務內容:大數據態勢感知、NGSOC、威脅情報、雲安全、Web安全
融資:B+輪
產品優勢
雲WAF:
1、基於奇安信補天平臺、網站安全研究員、漏洞應急響應中心、產品線安全防護小組的漏洞監控和防護更新,對各種應用層Web攻擊進行全面防護。以大數據雲端協同聯動技術和威脅情報分析技術為基礎精準防護。擁有近180萬網站攻擊防護經驗,是防護功能全面、技術先進、經驗豐富的網站安全雲防護系統。
2、全國近30+的雲端防護節點,可為用戶網站提供高達1T的雲端DDoS攻擊清洗防護服務,基於流量自動建模技術對CC攻擊作出自動響應防護,將拒絕攻擊清洗於客戶數據中心之外
3、可以在雲端通過全局負載均衡系統對訪問者請求和網站服務器響應數據做智能調度,由近源的緩存節點對訪問者請求做出響應;
智能DNS系統可以對用戶網絡進行判斷分析並進行智能調度,讓用戶訪問聯通走聯通、電信走電信,提高用戶訪問體驗。
4、規則全平臺自動更新,無需客戶手動觸發。
5、提供的爬蟲防護能力,能基於設備指紋特徵、歷史訪問統計、實時訪問情況、威脅情報等多維度的判斷標準,能解決客戶網站的重要信息被非法爬蟲獲取和網站性能損失等問題。
6、在界面能滿足WAF、緩存、訪問控制、CC和爬蟲防護的細粒度配置需求。
硬件WAF:
智能化防禦理念,以“雲端”數據與“本地”數據進行數據交互,讓一個傳統安全產品具備智能識別的能力,從而讓簡單的特徵庫識別能力具備了智能化判定的新防護能力。
差異化特點
奇安信WAF可以高效利用威脅情報,威脅情報中的入站數據有殭屍網絡、網絡攻擊、掃描器、惡意IP/URL、釣魚網站等網站安全等相關安全情報。威脅情報中心與Web應用防火牆實現數據共享後,可以根據情報來阻斷訪問網站的攻擊行為。大大提高了網站的安全性,降低了網站的安全風險。
雲WAF可以與其雲監測產品有聯動機制,一旦雲監測產品發現網站存在漏洞,會告知雲WAF產品通過調整策略的方式使漏洞不可被探測和利用。
未來挑戰
雲WAF:
客戶的運維問題,策略配置的優化問題,通用策略和個性化策略的平衡。雲端智能決策的如cc和爬蟲防護的策略有效性與誤報的平衡,只方面通過策略例外、細粒度的http訪問控制策略來做,對客戶自身的安全配置能力有較高要求。
硬件WAF:
客戶的運維問題,策略配置的優化問題,網站開發無標準化導致客戶自己也不了網站的架構、防護策略優化範圍霽重點,解決需要從源頭網站開發架構、數據庫編寫標準化開始。
3.3 開拓者
傳統公司上雲轉型,企業架構正因雲技術紅利而發生變革。眾多雲提供商也越來越關注安全領域,推出具有創新性的雲安全產品。
華為
華為雲Web應用防火牆(Web Application Firewall)對網站業務流量進行多維度檢測和防護,結合深度機器學習智能識別惡意請求特徵和防禦未知威脅,阻擋諸如SQL注入或跨站腳本等常見攻擊,避免這些攻擊影響Web應用程序的可用性、安全性或過度消耗資源,降低數據被篡改、失竊的風險。
創立時間:1987年
員工人數:194000
總部:廣東深圳
典型交易規模:3880-9880 每月
產品名稱:華為雲WAF應用防火牆
創始人:任正非
產品/服務內容:
1、通信及網絡安全設備
2、智能終端
3、雲計算與雲安全服務
融資:民營
產品優勢
1、部署方式靈活
支持雲WAF常見的簡潔配置cname接入方式;也支持VPC內部獨享防護實例場景。
2、變形攻擊識別能力強
華為雲WAF具有很強的變形攻擊識別能力,基於專利技術能識別十幾種編碼、多層編碼、混合編碼的繞過攻擊。包括18種類(UrlEn\u0002code、Unicode編碼、XML實體編碼、HTML實體編碼、HEX編碼、八進制編碼、截斷繞過、大小寫轉換繞過、SQL雙關鍵字繞過、SQL注入註釋繞過、php字符串拼接、chr函數拼接繞過等、空格壓縮、form表單、Json解析、XML解析、Java序列化解析、muti-part解析、base64等),防禦在業務編碼場景下的攻擊繞過,威脅檢出率大幅提升。
3、針對緊急漏洞應急速度快
擁有華為全系網絡安全防護產品的全球安全態勢感知能力,結合WAF防護策略的快速驗證下發通道,在緊急漏洞爆發時,具備2小時應急防護能力。
差異化特點
1、支持企業級安全合規需求
支持PCI DSS合規認證的TLS、SSL Ciphers版本,支持客戶業務輕鬆實現合規認證;防護事件日誌的敏感字段脫敏配置等,避免涉及用戶名、密碼、手機號碼等敏感信息在運維面的洩露。
2、靈活的自定義攻防策略
支持多種組合條件的CC限速策略;最大支持萬級的IP黑白名單配額;自定義攔截頁面進行定製等。
未來挑戰
API的Robot防護是一個挑戰,主要難點是針對瀏覽器、人機等場景識別的Javascript、挑戰碼等在此場景下不再適用。通過機器學習能力,利用傳輸協議層參數等信息增加特徵維度結合其他信息對行為建模是一個有效的趨勢。
在IPv6、5G普及,終端網速帶寬提升的預期下,攻擊者很容易獲取更多IP地址和帶寬,更多的IP地址使信譽庫作用大打折扣,CC攻擊防護將會更加困難。因此未來WAF的限速機制應淡化IP信譽的維度,從其他更多的維度,結合機器學習算法綜合建模。
當前雲WAF產品的定製化能力跟傳統設備相比,還是有明顯不同。其中雲WAF配置簡化更適合中小企業,未來更多擁有專業安全運維團隊大企業上雲,對雲WAF的定製化能力,VPC內部防護、更快的容災恢復能力,對雲WAF的架構演進都會有很大的促進。
阿里雲
阿里雲Web應用防火牆對網站或者APP的業務流量進行惡意特徵識別及防護,將正常、安全的流量回源到服務器。避免網站服務器被惡意入侵,保障業務的核心數據安全,解決因惡意攻擊導致的服務器性能異常問題。
創立時間:2009年
員工人數:數千人
總部:中國浙江省杭州市
典型交易規模:可聯繫瞭解詳情
產品名稱:阿里雲Web應用防火牆
創始人:阿里巴巴集團
產品/服務內容:雲計算產品
融資:阿里巴巴集團
產品優勢
1、採用深度學習AI引擎,通過大數據分析實現”千人千面 ”的流量精準防禦,解決以往客戶誤漏報嚴重的傳統問題;
2、深入HTTP全字段流量檢測分析、建設多維度的解碼防混淆、防繞過策略機制;主動防禦機制,以白流量模型實時發現異常訪問行為、有效對抗0day滲透、非常適用於重大活動安全保障場景;
3、聚焦業務安全,對賬號、API等核心資產進行在線檢測異常訪問,內置強大人機識別能力,應對黃牛黨、撞庫等各類高危風險;
4、從APP SDK到雲端防護, 提供全鏈路的安全檢測防護機制,無需用戶改動開發代碼,即可輕鬆實現客戶端的合法指紋識別,有效攔截異常客戶端如腳本、bot代理訪問;
5、強大的全流量日誌訪問智能檢索系統,HTTP全字段存儲及智能搜索,支持SQL豐富語法的快速統計查詢、極大提升安全運維效率;
6、豐富完整的產品形態及全球化20+節點覆蓋,提供cname 接入、軟件模塊化接入和API 接入三種方式。
差異化特點
1、建設應用安全網關、結合DDoS、WAF、人機識別等核心安全技術,打造統一雲防護平臺,為用戶提供一站式應用安全解決方案
2、AI引擎 + 正則引擎 + 主動防禦 + 自定義規則組,多維度、不同層次結合的綜合性Web防護策略,建立縱深防護體系有效過濾異常訪問,做到最好的Web應用護航保障;
3、關注業務安全,無需用戶進行代碼改造,利用強大的人機識別技術,輕鬆對抗黃牛/羊毛黨,解決秒殺搶購、大促等常見業務問題;
4、結合雲原生技術,與雲基礎產品SLB、ECS天然結合,支持結合Devops,天然融入用戶的日常運維中,讓安全與業務結合更加緊密。
未來挑戰
基於雲原生技術,給雲用戶帶來天然無感知的安全體驗,在用戶無需更改網絡架構的前提下(如DNS解析等),實現純透明代理方式防護,解決用戶擔心架構變動的顧慮
未來更多的用戶將採用雲上雲下業務並行的方式,如何在用戶線下流量不上雲防護的前提下,為線下IDC機房及雲上業務提供整體的統一安全解決方案,需要思考最佳的混合雲安全方案;
針對客戶端定製的加密流量,目前還缺乏看見真實流量信息的手段,導致防護效果不佳,需要找到對應場景的解決方案;
護網行動更多的挑戰每一次入侵測試的完整分析,需要從海量的攻擊請求中篩選出最有效、有價值的攻擊鏈路分析,提升攻防運營效率。
騰訊
騰訊雲Web應用防火牆是對網站或APP服務進行安全和合規性保護的應用安全防護產品。通過AI引擎和規則引擎識別惡意流量並處理,提高Web站點的安全性和可靠性;通過行為數據分析,對抗惡bot行為,保護網站核心資產,為客戶網站核心業務安全和數據安全保駕護航。
騰訊雲 WAF 提供兩種類型的雲上 WAF,SaaS 型 WAF 和負載均衡型 WAF,兩種 WAF 提供的安全防護能力基本相同,接入方式不同。
創立時間:1998年11月
員工人數:6萬+
總部:中國 廣東省 深圳市
典型交易規模:3880-28800/月
產品名稱:T-Sec Web應用防火牆
創始人:馬化騰
產品/服務內容:騰訊安全是由騰訊公司打造,以騰訊安全聯合實驗室作為實力技術支撐的互聯網安全領先品牌。騰訊安全旗下產品已成為中國最強的互聯網安全矩陣,包含面對用戶的全方位網絡安全應用、對企業與政府網絡安全的系列解決方案,已發展成為保衛騰訊互聯網業務發展及用戶、企業、政府三方網絡安全的國防軍。
融資:已上市
產品優勢
1、AI+規則雙引擎防護
在安全規則引擎進行 OWASP Top 10防禦(如SQL 注入、非授權訪問、XSS 跨站腳本、CSRF 跨站請求偽造、命令行注入等)的基礎上,引入 AI 防禦能力,通過交叉驗證持續學習,精準有效捕捉各類常規 Web 攻擊、0day 攻擊及其它新型未知攻擊。
2、提供bot行為管理
提供超過1000種公開bot類型,可快速設定防護策略。
提供已知、未知和自定義類型bot防護和詳細報表統計,快速定位和防禦惡意 BOT,保護網站業務安全。
3、智能 CC 防護
綜合源站異常響應情況(超時、響應延遲)和網站歷史訪問數據,智能決策生成防禦策略,實時攔截高頻訪問請求,封禁攻擊源。
一鍵無縫接入百 G 抗 DDoS 攻擊能力,輕鬆應對敏感大流量 DDoS 攻擊問題,無懼突發風險。
4、IPv6 安全防護
騰訊雲WAF同時具備IPv6安全防護能力,通過接入負載均衡型WAF,客戶可快速獲得IPv6防護能力。
差異化特點
1、WAF多種接入防護方式
區別於其他WAF廠商,騰訊雲WAF除了提供CNAME接入方式,同時能夠讓騰訊雲CLB負載均衡客戶無需改變現有網絡架構並快速接入WAF安全防護,有效提升防護穩定性,減少業務延遲;此外,騰訊雲WAF將於3月上線CDN接入方式,為用戶提供更多接入模式和防護手段。
2、AI安全防護
在規則防護基礎上,用戶使用獨享AI防護引擎,通過業務流量自學習生成防禦模型,用戶也可以對攻擊進行在線驗證,通過產品控制檯提交漏報和誤報進行自學習,有效提高Web攻擊的檢出率和降低誤報率。
未來挑戰
雲平臺上的超大流量客戶逐漸增多,客戶的需求也越來越多樣化,對產品接入方式、網絡延遲和系統穩定性要求不斷提升,這對騰訊雲的Web應用安全防護系統帶來持續性的挑戰。
隨著越來越多的客戶將企業核心業務遷移到雲平臺,客戶希望安全廠商能夠提供整體的應用安全主動防護方案,而不僅僅侷限於網站安全,例如:bot行為管理、API安全,如何使用新技術不斷完善Web防護防護,是騰訊雲WAF面臨另一個挑戰。
知道創宇
為解決互聯網時代的黨政機關、企業網站系統安全狀態嚴峻、大型網絡平臺被黑事件頻發、勒索軟件持續入侵大型系統等問題,由北京知道創宇信息技術股份有限公司國際頂尖安全專家組成的安全研究團隊研發的基於大數據平臺結合AI人工智能技術,針對各類網站、Web Mail、OA系統、CRM 系統,公眾號服務、小程序服務等等提供高可靠性、高穩定性、易部署的防Web應用攻擊、防後門、 防數據竊取等相關功能的下一代智能雲防護平臺。
創立時間:2007年
員工人數:1000+
總部:中國北京市朝陽區
典型交易規模:4.8-30萬/年
產品名稱:創宇盾
創始人:趙偉
產品/服務內容:雲防禦(創宇盾)、網絡空間測繪(zoomeye)
融資:C輪,估值20億
產品優勢
平臺通過對雲協同防禦、精準訪問控制、動態訪問控制、基於 AI 的智能語義解析引擎、SSL Keyless、站鎖防護和自動化攻擊溯源等方面進行技術創新,利用大數據及雲計算技術 現基於安全大數據的實時協同防禦;通過 AI 技術實時進行多維度分析 , 及時感知網絡空間安全態勢,動態優化網站防禦策略實現頂級動態防禦矩陣;通過已擁有全國最大的風險樣本庫,抵禦已知的 OWASP Top10 的黑客攻擊行為,實現基於雲計算的軍工級 WAF 產品。
差異化特點
1、資源無限彈性的雲WAF
創宇盾平臺基於動彈延伸的分佈式計算框架構建的資源彈性調度的雲WAF,可以做到帶寬和節點地域的無限制彈性,可以支撐客戶業務的動態變化,保障業務連續穩定性的同時,又可以實現帶寬節點資源的高效利用。
2、基於安全大數據的全網協同防護機制
創宇盾為超過90萬業務系統或網站提供Web應用攻擊防護,每天可以捕獲大量的攻擊樣本,其中有大量的新攻擊方法和0day利用。
通過基於安全大數據的全網協同防護機制,我們可以最大限度的縮短0day攻擊窗口期,實現一個網站或業務系統被攻擊,防護下的其他網站或業務系統可以及時主動防護。
3、獨創站鎖機制,為網站提供多維度立體防護能力
基於分佈式計算框架和網站業務精準畫像監測技術,為網站提供多維度站鎖功能,以減少網站脆弱性短板,並在特殊時期為網站提供全站內容鎖定技術,阻斷對網站或業務系統的篡改攻擊。
未來挑戰
1、 WAF本身是一個比較老的品類,功能同質化嚴重。
2、隨著雲計算和企業上雲的規模化法陣,雲WAF市場競爭持續加劇。
3、5G/IPV6/IoT 帶來的互聯網、物聯網技術革新,對雲WAF的防護技術和產品形態帶來了新的挑戰。
4、當前國際形勢變幻莫測,網絡戰已經成為第五戰場,來自國家之前的網絡攻擊,對包括雲WAF在內的安全產品和防護體系提出了新的挑戰。
3.4 優秀開源方案
開源WAF因其免費、輕量級、搭建方便、可定製化程度高等原因,成為大量中小型企業的首選方案之一。
ModSecurity
ModSecurity是一款開源的跨平臺WAF引擎,用於Apache,IIS和Nginx,由Trustwave的SpiderLabs開發。ModSecurity為目前世界上應用最廣泛、知名度最高的開源WAF產品,被稱為WAF界的“瑞士軍刀”,目前已更新至3.0.4版本。
① 功能介紹
SQL Injection (SQLi):阻止SQL注入
Cross Site Scripting (XSS):阻止跨站腳本攻擊
Local File Inclusion (LFI):阻止利用本地文件包含漏洞進行攻擊
Remote File Inclusione(RFI):阻止利用遠程文件包含漏洞進行攻擊
Remote Code Execution (RCE):阻止利用遠程命令執行漏洞進行攻擊
PHP Code Injectiod:阻止PHP代碼注入
HTTP Protocol Violations:阻止違反HTTP協議的惡意訪問
HTTPoxy:阻止利用遠程代理感染漏洞進行攻擊
Sshllshock:阻止利用Shellshock漏洞進行攻擊
Session Fixation:阻止利用Session會話ID不變的漏洞進行攻擊
Scanner Detection:阻止黑客掃描網站
Metadata/Error Leakages:阻止源代碼/錯誤信息洩露
Project Honey Pot Blacklist:蜜罐項目黑名單
GeoIP Country Blocking:根據判斷IP地址歸屬地來進行IP阻斷
② 優勢
完美兼容nginx,是nginx官方推薦的WAF;
支持OWASP規則;
3.0版本比老版本更新更快,更加穩定,並且得到了nginx、Inc和Trustwave等團隊的積極支持。
免費
③ 劣勢
不支持檢查響應體的規則,如果配置中包含這些規則,則會被忽略,nginx的的sub_fifilter指令可以用來檢查狀語從句:重寫響應數據,
OWASP中相關規則是95X;
不支持OWASP核心規則集DDoS規則REQUEST-912-DOS- PROTECTION.conf,nginx本身支持配置DDoS限制;
不支持在審計日誌中包含請求和響應主體。
ShareWAF
ShareWAF是一款具有創新性,並部分功能開源的WAF產品。
① 功能介紹
除具備防SQL注入、防掃描等等傳統WAF功能外,ShareWAF更有多種創新。
如:瀏覽器端WAF、JS代碼保護、動態變形元素、3D態勢感知、傳輸加密、大數據防護等。
ShareWAF防護不再侷限於服務器端,而是覆蓋客戶端、傳輸中、服務器端,提升為三重立體防禦。
且不再是被動式的防禦,而是被動、主動結合,進一步提升了防護性能。
ShareWAF的多個重要功能是開源的,如:瀏覽器端WAF、負載均衡功能、守護進程功能、反爬蟲功能。
② 優勢
創新、動態防禦、開源。
③ 劣勢
穩定性、兼容的不確定性。
ShareWAF作為市場新興產品,不可避免地存在一定風險,可能帶來功能的穩定性問題、性能問題、與業務系統的兼容性問題等,仍需要接受時間和市場的檢驗。
第四章 附錄(歡迎討論)
FreeBuf諮詢期望藉由《2020年國內WAF產品研究報告》,反映國內相關產業真實現狀、理清行業發展趨勢、細數業內優勢產品,為企業安全建設提供有效參考。
用於支撐本報告的信息來源包括來自數百家公司的問卷調查結果、整合大量網絡公開資料並對之進行深入分析等。
4.1 調查問卷
1、您所在公司目前IT基礎設施構建在?
⸺公有云
⸺IDC機房
⸺公司自建機房
⸺混合雲、私有云租用機房
2、您所在的公司邊界防護設備都有哪些?
⸺傳統硬件防火牆
⸺下一代防火牆
⸺Web應用防火牆
⸺Anti-DDoS設備
⸺入侵檢測/防禦產品7
⸺統一威脅管理
⸺NAC網絡准入,網絡隔離(網閘)
⸺其他
3、如果您所在的企業使用WAF,請問是以哪種形式存在?
⸺硬件Web應用防火牆
⸺雲WAF
⸺安裝在Web服務器上的WAF模塊
⸺軟件形式的WAF集群
⸺開源自建WAF
4、在的企業使用WAF解決方案的困惑在於?
⸺雲WAF數據隱私保護問題
⸺影響業務性能
⸺費用昂貴
⸺WAF規則維護成本高
⸺防禦檢出有效度
從零開講企業怎麼選WAF
WAF產品經理眼中比較理想的WAF
Magic Quadrant for Web Application Firewalls
5、您認為WAF產品在後續開發中應該增強哪些能力?
⸺上下文理解能力
⸺語義分析能力
⸺審計舉證能力
⸺情報能力
⸺業務安全防護能力
⸺協同能力
⸺AI能力
6、您認為WAF產品應該包含哪些新的功能?
⸺針對企業定向攻擊事件的分析
⸺通過掃描器驗證Web攻擊數據的有效性
⸺集成和共享威脅情報庫
⸺頁面混淆,動態防禦
⸺可以進行流量審計
⸺集成或聯動RASP分析
⸺容器部署方式
⸺其他
7、您所在的企業WAF是否開啟了攔截功能?
⸺是
⸺否,_原因
8、您所在的企業部署了哪款WAF產品?
9、關於WAF產品您還有哪些想說的?
閱讀更多 WangLiwen 的文章
