云时代给wAF增加了另一种形态。

    近年来，云计算的热潮推动了it行业的发展。许多企业的产品或服务都试图与云“挂钩”。其中，在国内外的信息安全市场中，还有一个新概念，即“云wAF”。

    Cloud wAF，又称web应用防火墙的云模式。是一种全新的信息安全产品模式。这种模式允许用户在自己的网络中不安装软件程序或部署硬件设备的情况下对网站实施安全保护。反sQL注入，反Xss，反ddos等。，这些传统wAF功能，云wAF也有。从用户的角度来看，cloud wAF更像是一种安全服务，但这种服务并不是人工实现的。

    云wAF技术实现

    之所以叫cloud wAF，是因为它所有的wAF功能都是通过云端提供的，不需要在本地部署产品。为了实现这一点，主要使用dns技术。

    众所周知，每个网站都有自己的域名，对应的是web服务器的ip地址。当客户端浏览器通过域名访问网站时，网站指定的dns服务器会先解析域名对应的web服务器的ip地址，这样客户端就可以向服务器发起正常的访问请求，完成一个完整的Http会话。

    Cloud wAF利用了这种机制。通过将域名解析权转让给网站，可以实现网站的安全保护。

    一般来说，云wAF系统由两部分组成:控制中心和端节点。控制中心配有dns服务器、调度系统等。，用于分析和调度客户端对网站的访问请求。每个端节点是一个独立的硬件wAF设备，用于过滤非法网站请求。具体实现过程如下:首先，用户需要将受保护网站的域名解析权交给云wAF系统(通过修改域名ns记录或cnAme记录)。域名解析权移交后，所有对受保护网站的请求将由控制中心解析，并分派到指定的端节点。端节点过滤流量，然后将其提交给原始web服务器。

    云wAF系统实现原理

    云wAF的优缺点:

    从它的祖先开始从未改变。在分析了cloud wAF的实现原理后，我们发现。云wAF的出现给网站保护带来了新的模式。但从安全防护的手段和能力来看，cloud wAF仍然是一个依赖于末端节点的硬件设备，并没有本质的改变。那么与部署传统硬件设备相比，使用cloud wAF的优势或劣势是什么？下面就来分析一二，仅供网站管理者参考。

    云wAF的优势(1):零部署、零维护

    这也是cloud wAF最有价值和吸引力的一点。不需要安装任何软件程序，也不需要部署硬件设备，只需要切换dns就可以在云wAF系统的保护下加入网站。而且云wAF提供商会负责系统维护和保护规则库的更新，管理员不用担心网站可能会受到疏忽或黑客使用最新攻击手段的威胁。

    云wAF的优势(2):提供cdn功能。

    网站访问率是评价一个网站商业能力的重要指标。一些大型网站为了提高访问率，经常使用cdn服务。大规模云wAF系统基于分布式计算，采用跨运营商的多线智能分析调度，将单点网站资源动态加载到全国的云节点，将用户访问流量引导到最近的云节点。并通过对请求的动态内容进行优化压缩，对静态内容进行分发缓存，为用户提供cdn服务，提高了网站的访问速度。

    以上两点让部分用户对云wAF“一见钟情”。但从更专业的角度来看，在这些功能背后，cloud wAF也存在严重的问题。

    云wAF的缺点(1):系统有被轻易绕过的风险。

    众所周知，本地wAF主要采用反向代理技术来保护网站。通过配置代理端口和设置地址映射规则，可以隐藏真实的服务器。但不同的是，云wAF系统需要依赖dns进行访问调度。网站的所有访问流量，只有经过指定的dns服务器解析后，才会被拖到云wAF系统的保护节点进行过滤。这样，如果黑客通过相关手段获得原web服务器的ip地址(具体手段这里就不详细描述了)，然后强行解析域名，就可以轻松绕过cloud wAF系统攻击原服务器。

    云wAF的缺点(2):系统的可靠性没有保证。

    Cloud wAF系统至少需要dns解析、请求调度、流量过滤等环节来处理一个网站访问请求。涉及多个系统的协同关联作业。只要一个环节出现问题，网站就无法正常访问。目前云wAF系统还没有相对完善的机制来解决这类问题。必要时，域名解析权只能手动切换回原dns服务器，使网站流量不经过云端wAF系统。但是，域名解析权需要一段时间才能生效。相比硬件设备的旁路功能，这种方式显然效率要低很多。

    云wAF的缺点(3):网站访问数据保密性低。

    网站访问数据是一些企业的机密和重要数据。因为它可能包含用户的隐私和市场信息。将数据存储在本地并自己控制更安全。但如果网站使用云wAF系统，网站的所有访问数据都会被记录在端节点并上传到控制中心，相当于把数据交给别人保管，会存在严重的泄密风险。

    经过利弊分析，我们发现cloud wAF目前只适用于一些中小型企业网站或者安全性要求不高的个人网站。对于一些安全性要求比较高的网站，比如政府、金融、运营商等。，无论是政策法规还是业务特点，cloud wAF都无法满足要求。因此，建议广大网站管理者需要明确自己的需求，根据网站的实际情况选择最合适的安全产品和服务。

    公司最新的web应用防火墙cloud wAF服务是一套专业的应用安全防护系统，有效防御sQL注入、Xss跨站脚本、后门上传、非授权访问等各种常见的web攻击。