WAF产品研究分析（背景需求，基本攻防原理、产品调研、市场分析、未来趋势）

1、WAF（Web Application Firewall）

Web应用防火墙（WAF）是一种专门为Web应用提供保护的安全产品，它可以通过执行一系列针对HTTP/HTTPS的安全策略，来防止Web应用遭受各种常见的攻击，比如SQL注入，跨站脚本（XSS），文件包含，Cookie篡改等。WAF也能够监测并过滤掉某些可能让应用遭受拒绝服务（DoS）攻击的流量，以及防止从Web应用获取某些未经授权的数据。

在本文中，从以下几个方面来介绍WAF的相关知识：

市场需求调研
Web攻击类型研究说明
Web防御手段研究说明
WAF产品选型依据
WAF产品调研分析与优劣势对比
WAF产品的行业客户有哪些
WAF产品的未来发展是什么

2、市场需求调研

随着互联网的发展，Web应用已经成为了各行各业的重要组成部分，无论是电子商务、社交媒体、在线教育、金融服务、政府服务等，都离不开Web应用的支持。然而，Web应用也面临着越来越多的安全威胁，根据Verizon数据泄露调查报告，Web应用攻击是最常见的攻击之一，占据了所有数据泄露事件的39%。而且，Web应用攻击的成本也很高，根据IBM安全报告，Web应用攻击是最昂贵的攻击类型之一，平均每次数据泄露事件的损失高达400万美元。

因此，Web应用安全已经成为了企业和组织不可忽视的问题，需要采取有效的措施来保护Web应用免受恶意攻击。而WAF作为一种专门针对Web应用安全的解决方案，能够提供实时、动态、智能的防护能力，从而提高Web应用的安全性和可靠性。根据市场研究机构Gartner的预测，到2023年，WAF市场将达到50亿美元，年复合增长率为17.6%。

3、Web攻击类型研究说明

Web攻击类型是指利用Web应用存在的漏洞或者缺陷，对Web应用或者其背后的服务器、数据库等进行非法访问或者破坏的行为。Web攻击类型有很多种，其中一些比较常见和危险的如下：

SQL注入：通过在目标数据库执行可疑SQL代码，以达到控制Web应用数据库服务器或者获取非法数据的目的。SQL注入攻击可以用来未经授权访问用户的敏感数据，比如客户信息、个人数据、商业机密、知识产权等。SQL注入攻击是最古老，最流行，最危险的Web应用程序漏洞之一。
跨站脚本（XSS）：通过往Web页面里插入恶意Script代码，当用户浏览该页面时，嵌入在Web页面里的Script代码会被执行，从而达到恶意攻击用户的目的。XSS大概分为两类：反射型攻击存储型攻击、DOM型攻击。反射型攻击是指恶意代码并没有保存在目标网站，通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击。存储型攻击是指恶意代码被保存到目标网站的服务器中，这种攻击具有较强的稳定性和持久性，比较常见的场景是在博客，论坛等社交网站上。XSS攻击能够获取用户Cookie，将用户Cookie发送回黑客服务器，获取用户的非公开数据，比如邮件、客户资料、联系人等。
文件包含：通过在Web应用中包含一个恶意文件，从而执行该文件中的代码或者命令，以达到控制Web应用服务器或者获取非法数据的目的。文件包含分为本地文件包含（LFI）和远程文件包含（RFI）。LFI是指包含的文件位于Web应用服务器上，而RFI是指包含的文件位于远程服务器上。文件包含攻击可以用来执行任意代码或者命令，获取服务器的敏感信息，比如配置文件、密码文件、日志文件等。
Cookie篡改：通过修改用户Cookie获得用户未授权信息，进而盗用身份的过程。攻击者可能使用此信息打开新账号或者获取用户已存在账号的访问权限。很多Web应用都会使用Cookie保存用户的Session信息，当用户使用Cookie访问该应用时，Web应用能够识别用户身份，监控用户行为并提供个性化的服务。而如果Cookie的使用缺乏安全机制的话，也很容易被人篡改和盗用，并被攻击者用来获取用户的隐私信息。
未经验证的输入：Web应用往往会依据HTTP的输入来触发相应的执行逻辑。而攻击者则很容易对HTTP的任何部分做篡改，比如URL地址、URL请求参数、HTTP头、Cookies等，以达到攻破Web应用安全策略的目的。
第七层DDoS攻击：通过向Web应用发送大量或者复杂的请求，消耗Web应用的资源或者触发Web应用的漏洞，从而使Web应用无法正常响应合法用户的请求。第七层DoS攻击与传统的第三层或者第四层DoS攻击不同，它不需要大量的流量或者带宽，而是利用了Web应用本身的逻辑或者功能缺陷。第七层DoS攻击有很多种形式，比如HTTP洪水攻击、慢速连接攻击、零窗口攻击等。
网页信息检索（Web scraping）：通过一些工具来获取网页内容，并从中提炼出有用的网站数据信息。网页信息检索可能会侵犯网站数据的版权和隐私，造成网站数据泄露或者竞争对手利用。网页信息检索也可能会给网站带来额外的流量负担和性能损耗。

4、Web防御手段研究说明

针对上述各种Web攻击类型，有一些常见的Web防御手段可以采取：

输入验证：对所有来自用户或者外部系统的输入进行合法性检查，过滤掉不符合预期格式或者内容的输入，防止恶意输入导致Web应用执行非法操作或者泄露敏感数据。输入验证可以在客户端和服务端都进行，但不能只依赖客端的验证，因为客户端的验证可以被绕过或者篡改。输入验证应该遵循最小权限原则，即只允许符合要求的输入，拒绝其它所有的输入。
输出编码：对所有输出到用户或者外部系统的数据进行适当的编码或者转义，防止输出数据中包含的特殊字符或者代码被错误地解释或者执行。输出编码可以防止XSS等攻击，保证输出数据的完整性和安全性。输出编码应该根据输出的上下文选择合适的编码方式，比如HTML编码、URL编码、JavaScript编码等。
参数化查询：对所有涉及数据库操作的查询使用参数化查询，而不是直接拼接用户输入的字符串。参数化查询可以防止SQL注入攻击，因为它会将用户输入的数据作为参数传递给数据库，而不是作为SQL语句的一部分。参数化查询可以使用预编译的语句或者存储过程来实现，比如PreparedStatement、CallableStatement等。
Cookie安全：对所有使用Cookie保存用户信息或者状态的Web应用，采取一些措施来保护Cookie的安全性，防止Cookie被窃取或者篡改。Cookie安全的措施包括：使用HTTPS协议来传输Cookie，避免Cookie在明文网络中被截获；使用HttpOnly属性来防止Cookie被JavaScript访问，避免XSS攻击；使用Secure属性来限制Cookie只能在HTTPS连接中发送，避免Cookie在非加密连接中泄露；使用SameSite属性来限制Cookie只能在同源请求中发送，避免CSRF攻击；使用有效的过期时间和域名来控制Cookie的生命周期和作用范围，避免Cookie被滥用或者冲突。
WAF部署：部署WAF来对Web应用提供额外的保护层，通过执行一系列针对HTTP/HTTPS的安全策略，来过滤和监控Web应用与互联网之间的流量，防止各种Web攻击。WAF可以部署在不同的位置和方式，比如网络层、主机层、云层等，也可以采用不同的安全模式，比如黑名单、白名单、混合模式等。WAF可以提供实时、动态、智能的防护能力，从而提高Web应用的安全性和可靠性。

（更具体的WAF防护思路会另一起篇文章来具体研究说明）

5、WAF产品调研分析与优劣势对比

大类上来分目前分为3类产品：

硬件WAF

硬件WAF是一种独立的设备，它可以与网络交换机、路由器等设备集成，拦截来自外部网络的流量，并对Web应用程序进行保护。硬件WAF的实现方式是通过代理技术代理来自外部的流量，并对请求包进行解析，通过安全规则库的攻击规则进行匹配，如成功匹配规则库中的规则，则识别为异常并进行请求阻断。

硬件WAF的产品部署方式通常是将WAF串行部署在Web服务器前端，用于检测、阻断异常流量。硬件WAF的部署相对简单，只需连接到交换机上（常规为串接），进行简单的配置后即可实现Web安全防护。

硬件WAF的优势主要有以下几点：
可承受较高的吞吐量：由于硬件WAF基于硬件设备实现，一般情况下可承受较高的数据吞吐量。

防护范围大：由于硬件WAF直接串联到了交换机，所以在同一个交换机下的所有服务器，都处于防火墙的防护范围之内。
高可用性：硬件WAF通常具有高可用性，可以通过上级部署和负载均衡来实现高可靠性和可扩展性。

硬件WAF的劣势主要有以下几点：

价格昂贵：目前安全行业中的硬件WAF，价格对于中小企业来说过于昂贵，动辄便是几十万甚至几百万。
存在一定误杀：由于硬件WAF是通过攻击规则库对异常流量进行识别，所以在业务系统复杂的情况下，可能存在一定误杀导致正常功能被防火墙拦截导致影响正常业务。
存在一定绕过几率：硬件WAF对HTTP协议进行自行解析，可能存在与Web服务器对HTTP请求的理解不一致从而导致被绕过。
对比云WAF在弹性防护能力，0day漏洞防御和策略的及时下发上有所不足，AI能力有限（虽然目前AI能力为包装，但算法需要消耗CPU资源）。

软件WAF
软件WAF是指安装在Web服务器上或作为Web容器的扩展运行的一种Web应用防火墙，它可以对HTTP和HTTPS流量进行深度分析，以检测和阻断常见的Web攻击，如SQL注入，跨站脚本，文件包含等。软件WAF的特点和优劣势如下：

软件WAF的特点：

开箱即用，廉价甚至免费。目前国内的软件WAF，如安全狗、网站安全卫士等皆有免费版，下载安装后简单配置即可使用。
管理方便，界面友好。目前行业中的软件WAF提供友好的查看、管理界面，使得即使是非技术人员也能通过软件管理服务器的安全状态。
功能丰富。使用软件实现的WAF除了实现对Web应用的防护功能之外，还存在其他丰富的安全功能，如扫描恶意木马文件、防篡改、服务器优化、备份等等功能，这些功能对于不了解网站技术的人来说提供了便捷。

软件WAF的优势：

与Web应用紧密结合，能够更准确地识别应用层攻击。
不需要额外的硬件设备或网络改造，部署成本低。
可以根据不同的Web应用定制不同的防护策略和规则。

软件WAF的劣势：

误杀&漏报特性。软件WAF对HTTP协议实现了自解析，无法和容器背后的Web应用保持对协议的理解一致，在误杀和漏报之间不能很好的平衡，解析太过细化又存在WAF可轻易被欺骗导致绕过的特点，防御太过严谨又可能会导致影响正常业务运行。
占用内存过多。由于软件WAF要实现对每个请求的解析、识别，可能会存在占用服务器内存过多的情况。
只适合中小型网站。由于软件WAF需要单台服务器部署，并且可能存在影响正常业务的风险和被绕过的风险，不适合大型的网络的安全防护使用。

云原生WAF

云服务商直接提供的WAF产品，对于上云的客户来说可以直接选择使用，其利用云的高弹性和防护的能力来提供云原生的安全防护体系，同时具备AI或者大数据的分析能力，这是本地硬件WAF基于性能瓶颈无法做到的，云原生WAF的本质是为云上客户提供透明接入，配合负载均衡，API网关等安全产品构建云安全防护体系。

云WAF的优势：

云厂商构建的安全防护体现，具有高的弹性、利用大数据和AI的能力去发现数据隐患，提高安全防护能力
能提高APT攻击和0day漏洞等高危漏洞的响应时效，构建更好的应急防御体系。
无需自己运维WAF本身和规则库，可以参考有关行业最佳实践或者基于业务选择下发即可，有更低的运维成本。

云WAF的劣势：

高度依赖云服务商的安全能力，各家安全能力有所差异。
部署上具有强绑定性，无法选择，如用户使用A家云服务，使用B家云WAF，无法实现，具有封闭性。
技术支持的及时性，取决于不同的云服务商。
云WAF配置规则的条数，目前云厂商根据不同的套餐有所限制。

云WAF（分布式Cname接入）

用户通过Cname的形式接入云WAF平台，一般会配合加速使用，目的是为了不影响正常用户的访问体验，同时能提供较高的安全防护弹性能力，该类云WAF的特点为分布式部署，用户就近接入。

该类云WAF产品的优势：

不会绑定某个云服务商，在混合云的模式下可以构建一套安全体系，降低安全运营的复杂度
Cname接入，切换方便，对于客户来说不具有强绑定性，有更多的可选择性。
弹性防护，Cname接入隐藏了源站的IP，降低了暴露的风险。
部分厂家支持安全加速一体化的方案，能够为用户提供更安全可靠的服务（网宿、阿里、腾讯）
更好的同本地WAF实现联动，如云端的一键封禁，策略及时下发，0DAY等漏洞的及时防御

该类云WAF产品的劣势：

安全防护能力依托于厂商能力，各家云WAF的安全防护能力不同，一般情况下用户无法同时选择接入多家。
成本不透明，各家产品的价格差异相对较大。
Cname的接入方式存在绕过风险，该种情况下云WAF就失去了安全防护的能力。

市场上有很多WAF产品可供选择，其中一些比较知名和流行的如下：

1、Cloudflare WAF：Cloudflare是一家提供云计算服务和内容分发网络（CDN）服务的公司，它也提供了WAF服务，作为其安全套件的一部分。Cloudflare WAF是一种云层WAF，它可以在Cloudflare全球边缘网络上运行，为Web应用提供低延迟、高可用、高可扩展的防护能力。Cloudflare WAF可以防止OWASP Top 10等常见攻击，并且可以根据用户自定义规则和Cloudflare智能规则进行灵活配置。Cloudflare WAF还可以与Cloudflare其他服务集成，比如DDoS防护、SSL/TLS加密、负载均衡等。

优势：低延迟、高可用、高可扩展、灵活配置、集成服务
劣势：收费较高、隐私风险、依赖云服务

2、ModSecurity WAF：ModSecurity是一款开源的WAF，它可以作为Apache、Nginx、IIS等Web服务器的模块来运行，也可以作为一个独立的程序来运行。ModSecurity WAF是一种主机层WAF，它可以在Web服务器上提供实时的防护能力，支持多种协议和格式的分析和过滤。ModSecurity WAF可以使用OWASP Core Rule Set（CRS）等标准规则集，也可以使用用户自定义规则来进行配置。ModSecurity WAF还可以与其他工具集成，比如日志分析、可视化、报警等。

优势：开源免费、灵活配置、集成工具
劣势：消耗服务器资源、实现复杂、维护成本

3、阿里云WAF产品是一种基于云计算的Web应用防火墙，可以保护Web应用免受常见的黑客攻击技术（例如 SQL 注入）和安全漏洞（例如跨站脚本）的侵害。

阿里云WAF产品的优势是：
1、支持CNAME、云原生、混合云/多云等多种接入方式，可以为部署在不同环境的业务提供统一的安全管理和运维控制。
2、利用AI技术实现了异常检测、攻击检测、故障预警、漏洞主动感知和误报主动感知，将传统的WAF产品从被动防御逐渐过渡至主动防御。
3、拥有阿里巴巴真实业务场景所积累并不断更新的独家全网威胁情报，提高防护效率和准确性。
4、获得Web应用防火墙大满贯（Gartner、Forrester、IDC、Frost&Sullivan）的国际权威机构认可。
5、满足等保合规、PCI-DSS等要求，助力企业安全合规建设。
阿里云WAF产品的劣势是：
1、需要依赖云端服务的稳定性和准确性，可能存在服务中断或故障的风险。
2、阿里云厂商提供的技术支持响应时间有限，高级需要付费，技术支持涉及到工单服务。

4、网宿云WAF产品是一种基于云计算的Web应用防火墙，可以利用网宿全球部署的2800+节点构建全球云安全网络，防护各类Web攻击，保障业务核心数据安全。

网宿云WAF产品的优势是：
1、采用“AI+规则”双引擎实时防护，利用云安全大数据和智能计算能力，提高防护效率和准确性。
2、支持CNAME接入，能提供安全加速一体化的方案，具有较强的产品竞争力
3、支持多种防护模式，包括预警模式、拦截模式、自定义模式等，满足不同风险等级的需求。
4、能支持多种安全服务，包括Web攻击防护、CC攻击防护、敏感信息防护、页面篡改防护等，提供全方位的安全保障。
5、可以无缝叠加DDOS、BOT、API安全、全站隔离、网站安全检测等产品，并不会改变客户的业务架构，能构建更高标准的云安全防护体系。
网宿云WAF产品的劣势是：
1、需要依赖云端服务的稳定性和准确性，可能存在服务中断或故障的风险。
2、Cname接入的方式存在绕过风险

6、对于客户来说WAF产品的选型依据

WAF的选购建议：在选择WAF产品或服务时，需要考虑以下几个方面：

是否满足企业的自身需求：比如是否支持复杂实施的能力、能否结合DDoS防护服务、欺诈检测、反爬虫、威胁情报、CASB云安全接入代理和应用安全测试等功能（其实就是gartner提出的新一代的WAAP，这个会写另外一篇博客来说明WAAP产品）。
安全厂商的能力：比如厂商在WAF上更新、维护、规则库更新下发时间，0day漏洞的防御处置时效、是否能提供更好更快速的安全解决方案。
是否合理定价：比如是否在预算范围内、产品同功能类型对比行业其他产品的竞争力如何。
是否具备市场响应能力：比如是否能适应新的或升级的Web应用架构和标准、是否能根据市场变化动态调整。这另一方面也涉及到的是产品的接入部署形态，硬件接入和现在云原生WAF，云WAF（Cname接入）各有优劣势，也是客户选型考虑的点。
是否有良好的客户体验：策略配置下发的难度，报表的全面性、可视性、其他同行业客户是否有选择，评价如何，能否支持定制化的配置。
是否有良好的售后服务：如能否提供7*24小时的技术支持，因为本身WAF产品对用户来说就存在配置和管理上的难度，如果服务商不能提供及时的售后服务响应那对企业侧来说就有更高的使用成本。
是否能满足合规性要求：某些地区如上海过等保购买WAF需要包含销售许可证，但是国外云厂商的云WAF缺少销售许可证，无法满足合规性监管要求。
除了以上几个方面外，还可以参考一些免费开源的WAF产品，它们也有一些优点，如兼容性好、功能丰富、性能高等，但也有一些缺点，如需要自己安装配置、更新维护、缺少专业支持等，总之没有最好的产品，只有最贴合自身业务的产品

7、WAF产品的行业客户有哪些

WAF产品的行业客户有很多，其中一些比较典型和重要的如下：

电子商务：电子商务行业的用户数据和交易数据，比如用户信息、订单信息、支付信息等，这些数据都是攻击者的目标。
社交媒体：社交媒体行业的用户数据和内容数据，比如用户信息、好友信息、消息信息、动态信息等。
在线教育：在线教育行业的用户数据和教育数据，比如用户信息、课程信息、学习进度信息、考试信息等。
金融服务：金融服务行业的用户数据和金融数据，比如用户信息、账户信息、交易信息、资产信息等。
政府服务：政府服务行业的Web应用涉及到大量的公民数据和政务数据，比如公民信息、证件信息、申请信息、审批信息等，这些数据都是攻击者的目标。除此之外政府门户还代表了政府客户的形象，具有高度的权威性和公信力，需要重点做保障。

8、WAF产品的未来发展是什么

WAF产品的未来发展有以下几个方面：

云化：随着云计算的发展，越来越多的Web应用部署在云平台上，这也带来了新的安全挑战和需求。云层WAF可以为云上的Web应用提供更好的防护能力，因为它可以利用云平台的弹性、分布式、智能等特性，提供低延迟、高可用、高可扩展的防护服务。云层WAF也可以与云平台的其他服务集成，比如CDN、DDoS防护、SSL/TLS加密、负载均衡等，提供更全面的安全解决方案。
智能化：随着人工智能和机器学习的发展，WAF可以利用这些技术来提升其防护能力，比如通过自动学习和分析Web应用的正常行为和异常行为，来动态调整和优化防护策略；通过自动识别和响应新的攻击类型和威胁情报，来提高防护效率和准确度；通过自动生成和推送防护报告和建议，来提高防护透明度和可操作性。
集成化：随着Web应用安全的复杂性和多样性，WAF需要与其他安全工具和平台集成，以提供更完善的安全防护体系，比如与日志分析、可视化、报警等工具集成，以提供更好的安全监控和管理能力；与漏洞扫描、代码审计、渗透测试等工具集成，以提供更好的安全评估和改进能力；与身份认证、访问控制、数据加密等工具集成，以提供更好的安全保障和隐私保护能力。