由“点”向“面”！简析新一代WAF的理念与应用

一直以来，Web应用防火墙（WAF）都是企业组织开展网络安全建设的最基本要求之一，在企业数字化发展中扮演了重要角色。不过随着网络攻击的演进，WAF技术的应用也在发生变化，新一代WAF的产品理念开始被提出。相比传统的WAF产品，新一代WAF不仅要对组织的网站系统进行保护，还要对逐渐普及的Kubernetes、微服务、API以及无服务器部署等新兴业务应用模式进行保障和支撑。

传统WAF的挑战

尽管WAF已经是一种趋于成熟的网络安全产品，但最新的调研数据显示，用户组织对WAF产品的应用满意度却不容乐观。在国际网络安全委员会（Neustar）不久前开展的一次调研中，接近40%的受访者表示曾遇到WAF被攻击绕过的情况；有33%的受访者表示其正在使用的WAF系统存在误报的情况；此外，有超过30%的受访者表示，目前的WAF系统存在配置复杂、策略修订难等不足。

除传统WAF产品本身的性能瓶颈及功能不足外，当前企业组织对WEB应用模式的转变也带来了新的应用风险，也对传统WAF防护技术提出了新的要求：

1. WEB应用的访问路径已不局限在网页中，小程序接入、APP接入、API调用方式已经成为WEB应用对外提供服务的主流，因此在做数据包分析时需要更加全面；

2. 机器人攻击、人工智能手段、商业化的高级攻击软件比例增加，以及攻击者能力上升，都会对WAF的应用性能带来更大压力，并导致绕过WAF的可能性不断增加；

3. 除SQL注入、一句话木马等网络攻击行为外，基于业务逻辑的攻击比例不断增加，而传统的WAF技术采用的独立会话判断模式无法识别出逻辑攻击的内容；

4. 从需求侧看，随着攻击种类的增加，需要为WAF提交的配置越来越复杂，学习成本越来越高，用户对传统WAF产品的运营使用难度也会不断加大。

新一代WAF的理念

面对以上传统WAF产品应用中的不足，新一代的WAF产品需要通过更先进的设计理念和技术手段，进行能力完善和优化，从而提升WAF的应用价值。基于当前企业组织的WEB应用风险特征，并结合分析师对甲方用户和国内代表性WAF产品服务商的实际调研访谈，安全牛对新一代WAF的理念进行了以下思考和定义：

**新一代WAF是指针对WEB应用系统执行过程中遇到的各种运行安全问题、数据安全问题以及业务安全问题，通过更广泛的原始数据采集和分析，提供多维度、智能化、可协同的系统性防护能力的产品或解决方案。**在新一代WAF产品的设计中，应该对WEB应用执行切面，覆盖尽可能多的WEB应用防护场景，在同一平台、同一输入、同一流程下，针对当前Web应用安全需求，提供尽可能完备的防护能力覆盖。

Web应用风险模型

基于以上定义和思考，新一代WAF产品应该具有以下典型应用特征：

• **平台化：**新一代WAF不只是对单一数据包进行过滤匹配，因此需要在统一的平台进行威胁分析和检测，或者以云化的方式交付；

• **生态化：**从内部看，为了提升新一代WAF的能力，需要与威胁情报能力结合，提升威胁识别能力；从外部看，新一代WAF还可以与RASP产品、身份安全等产品等形成联动，对WEB应用全生命周期进行防护；

• 能力泛化**：**新一代WAF不仅针对应用的运行进行防护，还支撑了应用系统的数据安全防护、业务安全防护，其能力由点向面泛化；

• **服务化：**WEB应用随时接入互联网的特性让WAF的SaaS化交付成为可能，因此服务化交付是新一代WAF 的重要发展趋势，用户仅需要获得WAF的能力即可，不需要考虑WAF的实现方式、配置方式。服务化交付一方面可以提供更高的性能，另一方面也可以提升用户的部署效率；

• **自动化：**新一代WAF作为具备处置能力的设备，未来将拥有更强的自动化执行能力，随着WAF产品生态的落地，越来越多的具备分析能力的设备可将分析结果、处置策略传递给新一代WAF，提升网络边界侧的实时处置能力。

新一代WAF的能力架构

安全牛始终认为：安全不是一个口号，也不是一款产品，而是一种能力。为了实现“多维度、智能化、可协同”的Web应用安全防护能力，新一代WAF产品在研发设计时可以参考以下能力架构：

新一代WAF能力架构

新一代WAF能力的建设并不是要对传统WAF功能的摒弃，而是一种继承和完善，同时针对新的应用场景进行创新优化。围绕新一代WAF的核心能力建设，可以从核心技术、支撑技术、联动技术等视角去赋能或形成能力提升。

从核心能力角度看，新一代WAF的核心能力可分为延续能力和创新能力。能力延续即为传统WAF的能力，而新能力则是指基于传统WAF能力解决的新问题或通过联动其他技术形成的能力。需要指出的是，传统WAF所提供的数据包解析、语义识别等能力仍然是新一代WAF能力构建的基础。

从核心技术角度看，新一代WAF的核心技术是对传统WAF技术的叠加，传统的WAF通过拆解应用层数据包，对包中内容进行语义分析和规则匹配的方式进行风险识别。同时WAF具备网页缓存、虚拟补丁、反向代理的能力，提升WAF应用能力和应用效果。新一代WAF中，增加了UEBA、动态防御的能力，以提升对数据包的利用效果，增加对多包协同分析能力。

从应用场景角度看，新一代WAF的典型应用场景既包括漏洞风险防护、数据防泄漏、防CC的传统WAF应用场景，也包括内容风控、业务风控、RBI场景等新应用场景。可以认为，新一代WAF的新应用场景在同时向左、向右推进，向左即对用户内网安全的支持，向右即对用于WEB应用执行中的业务安全场景进行支撑。

需要特别说明的是，新一代WAF并不是一个产品孤岛，而是未来WEB应用防护生态体系中的一部分。因此，从支撑技术看，新一代WAF需要威胁情报提升威胁识别能力、需要SSL解密技术对加密流量进行解析、需要人工智能技术提升风险识别准确率。新一代WAF还可以作为WEB应用防护设备，联动更多的对网络环境、代码安全相关的产品，形成WEB应用全生命周期防护。

《新一代WAF技术应用指南》报告

为了更好地探寻新一代WAF的应用价值与发展方向，安全牛根据第十版全景图报告“Web应用安全防护”领域收录结果，特别邀请到安天、观安信息、瑞数信息、天融信、电信安全、云盾智慧、云科安信（排名部分先后，以首字母序排列）7家国内WAF产品研发与应用领域具有一定代表性厂商，联合启动了《新一代WAF技术应用指南》报告研究工作。本次报告将从企业组织当前实际的Web应用防护需求入手，深入探寻新一代WAF需具备的能力及新的应用价值点，并围绕用户的系统应用特征，给出新一代WAF产品的部署和选型建议。

《新一代WAF技术应用指南》报告提纲

一、 概述

1.1 WEB应用的安全需求

1.2 传统WAF的挑战

1.3 新一代WAF理念

二、 新一代WAF能力

2.1 新一代WAF核心能力

2.2 新一代WAF关键技术

三、 新一代WAF应用实践

3.1 应用场景分析

3.2 方案部署

3.3 产品选型指南

四、 典型案例研究

五、 发展与趋势

六、 代表性厂商及产品分析

报告将于近期正式发布,敬请关注！