（文章來源：網(wǎng)絡(luò)整理）

云WAF，也稱WEB應(yīng)用防火墻的云模式。這種模式讓用戶不需要在自己的網(wǎng)絡(luò)中安裝軟件WAF或部署硬件WAF，就可以對網(wǎng)站實施安全防護。防SQL注入、防XSS、防DDOS等，這些傳統(tǒng)WAF上存在的功能，云WAF同樣具備。從用戶的角度來看，云WAF就像是一種安全服務(wù)。之所以稱之為云WAF，就是因為它所有的WAF功能都是通過云端提供的，而不需要在本地部署產(chǎn)品。云WAF的達成，主要利用的就是DNS技術(shù)。

眾所周知，每個網(wǎng)站都有自己的域名，域名與WEB服務(wù)器的IP地址相對應(yīng)。當(dāng)客戶端瀏覽器通過域名訪問網(wǎng)站時，首先會由網(wǎng)站指定的DNS服務(wù)器解析出域名所對應(yīng)的WEB服務(wù)器的IP地址，這樣客戶端才能向服務(wù)器發(fā)起正常的訪問請求，進而完成一次完整的HTTP會話。

云WAF正是利用這項機制。通過讓網(wǎng)站移交域名解析權(quán)的方式，實現(xiàn)對網(wǎng)站的安全防護。通常情況下，云WAF系統(tǒng)由控制中心及端節(jié)點兩大部分組成。控制中心部署有DNS服務(wù)器、調(diào)度系統(tǒng)等，用來解析并調(diào)度客戶端對網(wǎng)站的訪問請求。端節(jié)點采用多臺分布式部署，每一個端節(jié)點都是一***立的硬件WAF設(shè)備，用來過濾非法的網(wǎng)站請求。

具體實現(xiàn)過程為：用戶首先需要將被保護的網(wǎng)站域名解析權(quán)移交給云WAF系統(tǒng)（采用修改域名NS記錄或CNAME記錄的方式）。域名解析權(quán)移交完成后，所有對被保護網(wǎng)站的請求，將會被控制中心解析并調(diào)度到指定的端節(jié)點上（當(dāng)然，在這個過程中，云WAF會過濾攻擊威脅）。由端節(jié)點進行流量過濾后，再遞交給原始的WEB服務(wù)器。

其實，有的情況下，通過使用支持云模式的軟件WAF，也可以實現(xiàn)云WAF。比如在下曾用ShareWAF這款軟件WAF給公司實現(xiàn)了私有云WAF，給公司數(shù)個網(wǎng)站提供安全防護服務(wù)。分析了云WAF的原理后，我們發(fā)現(xiàn)云WAF的出現(xiàn)，雖然給網(wǎng)站防護帶來了一種新的模式。從安全防護的手段及能力上來看，云WAF仍然是依賴于端節(jié)點的硬件設(shè)備，并沒有本質(zhì)性的改變。那么，與部署傳統(tǒng)的硬件設(shè)備相比，使用云WAF究竟帶來的是利還是弊？

這也是云WAF最有價值，最為吸引用戶的一點。不需要安裝任何軟件程序或部署硬件設(shè)備，只需切換DNS就可以將網(wǎng)站加入到云WAF系統(tǒng)的防護中。而且，云WAF提供商會負責(zé)系統(tǒng)維護及防護規(guī)則庫的更新，管理員不必擔(dān)心可能會因為疏忽或者黑客使用最新的攻擊手段而使網(wǎng)站受到威脅。

云WAF之利（二）：提供CDN功能網(wǎng)站訪問速率是評估一個網(wǎng)站業(yè)務(wù)能力的重要指標(biāo)。一些大型的網(wǎng)站為了提升訪問速率，往往會使用CDN服務(wù)。規(guī)模較大的云WAF系統(tǒng)都是以分布式計算為基礎(chǔ)架構(gòu)，采用跨運營商的多線智能解析調(diào)度，將單點網(wǎng)站資源動態(tài)負載至全國的云端節(jié)點，用戶訪問流量被引導(dǎo)至最近的云端節(jié)點。并且通過對請求的動態(tài)內(nèi)容優(yōu)化壓縮，靜態(tài)內(nèi)容分布緩存，為用戶提供CDN服務(wù)，提升網(wǎng)站的訪問速度。以上兩點，讓部分用戶對云WAF“一見鐘情”。但是從更專業(yè)的角度考量，在這些特性背后，云WAF同樣存在著嚴重的問題。

云WAF之弊（一）：系統(tǒng)存在被輕易繞過的風(fēng)險眾所周知，本地WAF對網(wǎng)站實施保護，主要采用的是反向代理技術(shù)。通過配置代理端口并設(shè)定地址映射規(guī)則，達到隱藏真實服務(wù)器的目的。然而不同的是，云WAF系統(tǒng)需要依賴于DNS進行訪問調(diào)度。網(wǎng)站的所有訪問流量只有經(jīng)過指定的DNS服務(wù)器解析后才會被牽引到云WAF系統(tǒng)的防護節(jié)點進行過濾。這樣一來，如果黑客利用相關(guān)手段獲取到原始WEB服務(wù)器的IP地址，然后通過強制解析域名的方式，就可以輕松的繞過云WAF系統(tǒng)對原始服務(wù)器實施攻擊。

云WAF之弊（二）：系統(tǒng)的可靠性欠缺保障云WAF系統(tǒng)處理一次網(wǎng)站訪問請求，至少需要經(jīng)過DNS解析、請求調(diào)度、流量過濾等環(huán)節(jié)。其中涉及多個系統(tǒng)的協(xié)同關(guān)聯(lián)作業(yè)。只要有一個環(huán)節(jié)出現(xiàn)問題，就會導(dǎo)致網(wǎng)站無法正常訪問。目前云WAF系統(tǒng)還沒有相對完善的機制解決此類問題，必要時只能手動將域名解析權(quán)切換回原DNS服務(wù)器，使得網(wǎng)站流量不經(jīng)過云WAF系統(tǒng)。但是域名解析權(quán)切換生效是需要一定的時間。這種方式與硬件設(shè)備的Bypass功能相比，顯然效率會低很多。

云WAF之弊（三）：網(wǎng)站訪問數(shù)據(jù)的保密性較低網(wǎng)站訪問數(shù)據(jù)對于一些企業(yè)機構(gòu)來說是保密且重要的數(shù)據(jù)。因為里面可能包含了用戶的隱私以及市場信息。把這些數(shù)據(jù)存儲在本地自己管控相對會比較安全。但是，如果網(wǎng)站使用了云WAF系統(tǒng)，網(wǎng)站的所有訪問數(shù)據(jù)都會被記錄在端節(jié)點并上傳到控制中心，相當(dāng)于把數(shù)據(jù)交給了別人保管，會存在嚴重的泄密風(fēng)險。

分析利弊后，我們發(fā)現(xiàn)，云WAF目前還只適用于一些安全需求較低的中小企業(yè)網(wǎng)站或個人網(wǎng)站。對于一些安全需求較高的網(wǎng)站，像政府、金融、運營商等，無論從政策法規(guī)上還是業(yè)務(wù)特性上看，云WAF都無法滿足要求。所以建議廣大網(wǎng)站管理者，需要根據(jù)網(wǎng)站的實際情況，明確需求，選擇最為合適的安全產(chǎn)品和服務(wù)。
（責(zé)任編輯：fqj）