雲時代讓WAF多(duō)了一種形态
近年來，雲計算的熱潮推動着IT行業的發展。很(hěn)多(duō)企業的産品或服務(wù)都在盡力與雲“挂鈎”。其中，在國(guó)内外信息安(ān)全市場中，也多(duō)了一個新(xīn)的概念，就是“雲WAF”。
雲WAF，也稱WEB應用(yòng)防火牆的雲模式。它是一種全新(xīn)的信息安(ān)全産品模式。這種模式讓用(yòng)戶不需要在自己的網絡中安(ān)裝(zhuāng)軟件程序或部署硬件設備，就可(kě)以對網站實施安(ān)全防護。防SQL注入、防XSS、防DDOS等，這些傳統WAF上存在的功能(néng)，雲WAF同樣具備。從用(yòng)戶的角度來看，雲WAF更像是一種安(ān)全服務(wù)，隻不過這種服務(wù)并非是通過人工來實施的。

雲WAF的技(jì )術實現
之所以稱之為(wèi)雲WAF，就是因為(wèi)它所有的WAF功能(néng)都是通過雲端提供的，而不需要在本地部署産品。實現這點主要利用(yòng)的就是DNS技(jì )術。
衆所周知，每個網站都有自己的域名，域名與WEB服務(wù)器的IP地址相對應。當客戶端浏覽器通過域名訪問網站時，首先會由網站指定的DNS服務(wù)器解析出域名所對應的WEB服務(wù)器的IP地址，這樣客戶端才能(néng)向服務(wù)器發起正常的訪問請求，進而完成一次完整的HTTP會話。
雲WAF正是利用(yòng)這項機制。通過讓網站移交域名解析權的方式，實現對網站的安(ān)全防護。

通常情況下，雲WAF系統由控制中心及端節點兩大部分(fēn)組成。控制中心部署有DNS服務(wù)器、調度系統等，用(yòng)來解析并調度客戶端對網站的訪問請求。端節點采用(yòng)多(duō)台分(fēn)布式部署，每一個端節點都是一台獨立的硬件WAF設備，用(yòng)來過濾非法的網站請求。具體(tǐ)實現過程為(wèi)：用(yòng)戶首先需要将被保護的網站域名解析權移交給雲WAF系統（采用(yòng)修改域名NS記錄或CNAME記錄的方式）。域名解析權移交完成後，所有對被保護網站的請求，将會被控制中心解析并調度到指定的端節點上。由端節點進行流量過濾後，再遞交給原始的WEB服務(wù)器。

 

分(fēn)析利弊後，我們發現，雲WAF目前還隻适用(yòng)于一些安(ān)全需求較低的中小(xiǎo)企業網站或個人網站。對于一些安(ān)全需求較高的網站，像政府、金融、運營商等，無論從政策法規上還是業務(wù)特性上看，雲WAF都無法滿足要求。所以建議廣大網站管理(lǐ)者，需要根據網站的實際情況，明确需求，選擇最為(wèi)合适的安(ān)全産品和服務(wù)。