关于报告

近年来,针对Web应用的攻击已成为企业面临的主要安全问题之一。网络安全攻击有75%都是发生在Web应用层而非网络层面上,约2/3的Web站点都相当脆弱,易受攻击。而WAF(Web Application Firewall,即Web应用防火墙),是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

国内企业的Web安全现状如何?使用WAF解决方案时有何困惑?期望后续的产品增强哪方面的能力?《2020年国内WAF产品研究报告》通过现场走访、资料整合及问卷调查的形式,对国内近百家企业的WAF使用情况进行对比分析,总结国内WAF产品的基本现状,并尝试对其发展趋势进行评估和预测,为企业安全建设提供有效参考。

关于FreeBuf咨询

FreeBUF:斗象科技旗下国内领先的互联网安全新媒体,每日发布专业的安全资讯、技术剖析,分享国内外安全资源与行业洞见,是深受安全从业者与爱好者关注的网络安全网站与社区。

FreeBuf咨询集结了安全行业经验丰富的安全专家和分析师,常年对信息安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务。

编者 徐钟豪 鲍弘捷 施东奇 周雪静 姚媛

第一章 前言

近年来,针对Web应用的攻击已成为企业面临的主要安全问题之一。Gartner的数据显示,网络安全攻击有75%都是发生在Web应用层而非网络层面上,约2/3的Web站点都相当脆弱,易受攻击。而WAF(Web Application Firewall,即Web应用防火墙),是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

通常来说,WAF承担了抵御常见Web攻击的作用,是大多数互联网公司Web防御体系中最重要的一环,像一名尽职的保安,作为第一道防线守护业务的安全。2020年,市面上提供WAF方案的厂商依然很多,WAF仍是大多数企业用户部署的必选项。

国内企业的Web安全现状如何?使用WAF解决方案时有何困惑?期望后续的产品增强哪方面的能力?本报告将通过现场走访、资料整合及问卷调查的形式,对国内近百家企业的WAF使用情况进行对比分析,总结国内WAF产品的基本现状,并尝试对其发展趋势进行评估和预测,为企业安全建设提供有效参考。

第二章 国内 WAF 产品现状分析

2.1 部署WAF的必要性

企业Web业务系统面临的安全问题主要有以下几个方面: 

 1、开发时期遗留问题

由于Web应用程序的编写人员,在编程的过程中没有考虑到安全的因素,使得黑客能够利用这些漏洞发起对网站的攻击,比如SQL注入、跨站脚本攻击等。

 2、Web中间件漏洞问题

Web系统包括底层的操作系统和Web业务常用的发布系统(如IIS、Apache),这些系统本身存在诸多的安全漏洞,利用好这些漏洞,可以给入侵者可乘之机。

3、运维管理中的问题

业务系统中由于管理的问题也存在诸多安全隐患,如弱口令嗅探、备份文件泄露,.git文件泄露等等,导致黑客、病毒可以利用这些缺陷对网站进行攻击。

4、破坏手段多样问题

Web系统所处的环境的网络安全状况也影响着Web系统的安全,比如网络中存在的DDoS攻击,或者存在感染病毒木马的终端,给黑客提供可利用的跳板等,这些内网自身的安全问题同样会影响到Web系统的稳定运行。

遭受Web攻击往往会导致页面被篡改、业务瘫痪、用户数据泄露等严重问题,对企业的经济利益及声誉造成重大损害。纵观近年来的重大网络安全事件,也不难发现上到政府单位、跨国巨头,下到普通企业及个人用户,都可能遭遇网络攻击,且从以上案例来看,事后处置的代价,无一例外都远远高于事前防护的成本:

2017年5月,全球爆发大规模勒索软件WannaCry攻击事件,超过30万台电脑受到攻击,波及包括英国、俄罗斯、中国、美国等在内的150个国家,涉及能源、电力、交通、医疗、教育等多个重点行业领域;

2018年2月,韩国平昌冬奥会开幕式当天遭遇黑客攻击,此次攻击造成网络中断,广播系统和奥运会官网均无法正常运作,许多观众无法打印开幕式门票,最终未能正常入场;

2018年3月,Facebook数据泄露,8700多万用户数据被贩卖。数天后,Facebook股价大跌,市值蒸发360亿美元;

2019年2月,湖南某医院遭遇勒索攻击,导致大批患者滞留,无法正常就医;

2019年3月,委内瑞拉发生包括首都加拉加斯在内的18个州范围的电力中断,持续超过24小时,导致地铁无法运行和大规模的交通拥堵,加拉加斯机场、医院、移动网络等基础设施均受到极大影响;

2019年6月,美国《纽约时报》爆料称,美政府官员承认,早在2012年就已在俄罗斯电网中植入病毒程序,可随时发起网络攻击。报道随即引发相关国家的高度关注和国际舆论的广泛猜测

政策法规层面,自2017年6月1日以来,《中华人民共和国网络安全法》实施两年有余,其明确规定单位或个人建立、运营网站,有义务保证网站运行正常,网络安全法中指出等级保护工作的核心内容包括关键信息基础设施的安全保护义务(第三十四条 运营者设置专门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等)和敏感信息保护(第三十七条 境内收集产生的个人信息和重要数据应当在境内存储。确需向境外提供的,应进行安全评估)。

如果网站运营者重视不足,未使用合理的防护手段,一旦网站被入侵,可能造成业务瘫痪、数据泄露、散播出不良言论等恶性事件。如果发生此类情况,相关单位、责任人需承担相应的法律责任,其执法行为已走向常态,执法案例比比皆是,将对企业的运行和声誉造成极大的负面影响。

综上所述,无论是面临越来越严格的监管要求,还是应对日益严重的安全威胁,企业部署WAF作为Web安全防护手段不仅必要,且十分紧迫。

2.2 业务场景及功能

综合国内多款主流WAF产品介绍及实地考察研究,其使用场景主要有:

1、精准访问控制

明确定义和限制信息系统用户能够对资源执行的访问操作,因此可以有效提供对信息资源的机密性和完整性保护。

2、Web漏洞攻击防护

恶意访问者通过SQL注入、XSS、远程命令执行等手段,入侵网站数据库,窃取业务数据或其他敏感信息。

3、CC攻击防护

网站被发起大量的恶意请求,长时间占用核心资源,导致网站业务响应缓慢或无法正常提供服务。

4、0day漏洞缓解

第三方框架或插件爆发0day漏洞时,需要通过下发虚拟补丁,第一时间防护由漏洞可能产生的攻击。

综合以上来看,一款合格的WAF通常应具备以下功能:

1、HTTP、HTTPS协议的解析和过滤,如协议不同版本的识别和解析、协议参数长度限制等; 

2、各类Web攻击防护,如:SQL注入、XSS跨站、CSRF、网页后门等;

3、各类自动化攻击防护,如:暴力破解、撞库、批量注册、自动发贴等;

4、阻止其它常见威胁,如:爬虫、0day攻击、代码分析、嗅探、数据篡改、越权访问、敏感信息泄漏、应用层DDoS、远程恶意包含、盗链、越权、扫描等;

5、其他管理与审计,如安全配置、日志分析、报表与统计功能等。

2.3 国内企业WAF产品现状调查

通过对国内近百家大中型企业的调查走访,我们得以窥视国内企业WAF产品的部署及使用现状。 

1、IT基础设施

企业的IT基础设施就像一个大舞台,舞台布置好了,演员们才可以在上面进行表演(信息化应用)。目前主流的IT基础设施一般来说有以下几种构建方式:

自建机房的占比最高,达到38.6%;其次有32.9%的企业将业务部署在公有云;部署在IDC机房的占比为25.7%;另外,还有2.8%的企业的IT基础架构部署在混合云或私有云。

2、边界防护设备部署情况

由于信息系统自身的复杂性、网络的广泛可接入性等因素,系统面临日益增多的安全威胁,安全问题日益突出。边界防护作为企业最关键的网络安全防护手段之一在国内得到了非常广泛的应用,本报告的核心⸺WAF产品也是典型的边界防护设备。下面就让我们来看一下受访企业中都部署了哪些边界防护设备。

受访企业中,Web应用防火墙当仁不让地位居第一位,87.7%的受访者都部署了WAF产品;第二和第三位分别是入侵检测/防护及传统硬件防火墙产品,占比分别为75.5%和61.2%。

3、WAF的分类

WAF产品从部署形式上来说,大致可以分为硬件型、软件型、云WAF三个大类。

① 硬件型

硬件型WAF以一个独立的硬件设备的形态存在,支持以多种方式(如透明桥接模式、旁路模式、反向代理等)部署到网络中为后端的Web应用提供安全防护,是最为传统的WAF型态,在受访企业中部署占比为35.2%。相对于软件产品类的WAF,这类产品的优点是性能好、功能全面、支持多种模式部署等,但它的价格通常比较贵。国内的绿盟、安恒、启明星辰等老牌厂商旗下的WAF都属于此类。

② 软件型

这种类型的WAF采用纯软件的方式实现,特点是安装简单,容易使用,成本低。但它的缺点也是显而易见的,除了性能受到限制外,还可能会存在兼容性、安全等问题。这类WAF的代表有ModSecurity、Naxsi、ShareWAF、安全狗等。

③ 云WAF

随着云计算技术的快速发展,使得基于云的WAF实现成为可能,在本次调查中占比甚至超过了传统的硬件WAF跃升为第一位,达到39.4%。阿里云、腾讯云、深信服云WAF、Imperva WAF是这类WAF的典型代表。

2.4 部署与使用

WAF产品从部署形式上来说,大致可以分为硬件型、软件型、云WAF三个大类。

1、部署WAF

使用WAF的第一步是部署。WAF部署总的一个思路是,让用户访问到达网站之前,先经过WAF,让WAF识别、拦截恶意访问、攻击。

WAF的部署模式有三种:反向代理、透明代理、旁路。常用的是反向、透明两种模式,因为旁路只有监听功能,不能对访问进行拦截、没有防护能力,因此使用的较少。

① 反向代理

反向代理模式下,将WAF部署在了服务器之前,用户访问时,不知道服务器的的具体存在,会直接访问到WAF,如果是恶意请求或攻击,访问会被直接拦截,正常的访问WAF才会向服务器转发请求。这是最常见的一种部署模式。

② 透明代理

通常只有硬件WAF才会部署为透明代理。透明代理模式下,用户访问时不知道WAF的存在,访问会直接指向真实服务器,但流量到达服务器之前,会隐性地被WAF过滤,只有正常的访问才会被放行到服务器,恶意的访问、攻击都会被拦截。

以上只是简单的原理性说明,实际情况下,很多时候网络结构会复杂很多,具体将WAF部署在网络中的什么位置,需根据自己情况而定。

2、使用与调试

WAF部署成功后,准备开始使用了。正式使用之前,还有一个配置、调试、测试的过程。

对于传统WAF而言,需要大量的设置、调整规则。如果规则配置不当,可能会出现误报,影响业务系统正常运作;可能会漏报,不能很好的起到防护作用。云WAF则相对简单很多,将云WAF绑定到虚拟主机,然后通过控制台设置页面,开启WAF开关即可。

调试、测试全部完成,部署就完成了,WAF就可以开始真正的保护网站安全运行。

2.5 趋势与展望

WAF依然是目前抵御Web应用攻击的大头:受访者中大部分企业用户都部署了WAF。但是从调查结果来看,越来越多的企业对WAF的防御检出有效度、影响业务性能、高昂的维护成本等问题并不满意。

被问到WAF产品在后续开发中应增强哪些能力时,18.5%的企业认为业务安全防护能力首当其冲;16.6%的企业认为WAF产品应该增强情报能力;除此之外,上下文理解能力、AI能力、协同能力、语义分析能力、审计举证能力等也是受访企业的关注焦点。

功能方面,集成和共享威胁情报库是受访企业最为迫切需求点,其次是针对企业定向攻击事件的分析和通过扫描器验证Web攻击数据的有效性。

此外,81.8%的受访企业开启了拦截功能,未开启的原因则包含担心误报、怕影响业务、怕误杀、尚未上线等。

总的来说,WAF市场的增长潜力仍在,从Gartner对当前Web应用安全状况的调查来看,WAF仍然是用于保护Web应用的最佳产品。与此同时,新兴的WAF产品市场也充满了挑战:

1、传统 WAF 厂商针对非 OWASP Top 10 攻击防护的响应较慢,尤其那些专注 API 和更复杂的攻击,比如证书填充、应用逻辑漏洞的利用。

2、越来越多企业正在从实体WAF设备转向采用获取服务的方式:包括传统的托管服务、私有云、IaaS部署的虚拟设备,还有基于云的SaaS订阅方案。

到2022年,硬件WAF占新部署产品的比例将不到10%,如今的比例是30%。

3、越来越多的WAF厂商开始提供额外的解决方案⸺如应用层DDoS防护、bot缓解,甚至还可能包括CDN之类的非安全功能,Gartner将这种新生的融合方案称作WAAP。

他们预测称,到2023年,超过30%的Web应用程序和API将受到WAAP服务的保护,这个数字如今只有10%。

4、很多厂商开始着力于WAF更为复杂的分析能力、自动化的调整机制。

第三章 国内主流 WAF 产品名录

3.1 产品名录

WAF产品名录 按厂商名称拼音首字母排序

云WAF

硬件类

软件类

3.2 领先者

入选公司在网络安全领域深耕多年,拥有大量客户群体,市场知名度很高。科研实力与发展前景均十分出众,是该行业当之无愧的领先者。

Imperva

Imperva的SecureSphere Web 应用防火墙(Imperva WAF Gateway)可对业务关键 Web 应用程序的所有用户访问进行分析,并且保护应用程序及数据免遭攻击。SecureSphere Web 应用防火墙可动态地了解应用程序的“正常”行为,并将其与全球众包且实时更新的威胁情报关联起来,以提供卓越的保护。

Imperva Incapsula 通过提供最佳的云端 Web应用程序防火墙,免去了这些成本。作为 1 级 PCI 认证的 Web 应用程序防火墙,Incapsula 可提供对黑客和僵尸程序的强有力防御。借助最佳的内容传送网络,它还提升了网站性能。

创立时间:2002年

员工人数:1001-5000

总部:美国 加利福尼亚 红杉海岸

产品名称:SecureSphere Web 应用防火墙、Incapsula(云WAF)

创始人:Shlomo Kramer,Amichai Shulman,Mickey Boodaei

产品/服务内容:

1、Web应用程序安全:Web应用程序防火墙、DDos防护服务、数据库安全、文件安全、云安全、信誉服务、社区防御系统、欺诈预防、Incapsula SaaS WAF & DDos防护

2、数据库安全:数据防护和合规、数据库活动监控、数据库防火墙、数据库评估、针对数据库的用户权限管理、ADC洞察力、大数据安全

3、文件安全:文件活动监控、文件防火墙、用户文件权限管理、目录服务监控、SHAREPOINT安全

4、云安全:Incapsula、SecureSphere for AWS、Skyfence

融资:已上市

产品优势

SecureSphere Web 应用防火墙能够识别恶意植入看上去无害的网站流量的危险并对其采取行动;该网站流量从传统防御中偷偷漏掉。这包括拦截技术攻击,如 SQL 注入、跨站脚本和利用 Web 应用程序漏洞的远程文件包含;业务逻辑攻击,如网站抓取和垃圾评论;

僵尸网络和 DDoS 攻击;以及在欺诈交易实施前实时避免账户接管尝试。

Imperva Incapsula 通过提供最佳的云端 Web 应用程序防火墙,免去了这些成本。作为1级PCI认证的 Web应用程序防火墙,Incapsula可提供对黑客和僵尸程序的强有力防御。 借助最佳的内容传送网络,它还提升了网站性能。

差异化特点

Imperva最近发布了针对API流量和防止账户被接管的保护措施,并收购了一个纯粹的bot缓解解决方案,这表明Imperva有能力专注于WAF和WAAP潜在买家最相关的威胁载体。

Imperva是少数几家提供WAF设备和云WAF服务的供应商之一。Imperva为混合使用内部部署应用程序和云托管应用程序的组织提供灵活的许可。它使供应商能够针对更广泛的用例和组织,更好地管理从WAF设备到云WAF服务的过渡。

Imperva Cloud WAF提供与许多领先的SIEM解决方案的集成。

未来挑战

1、Imperva云服务的核心是WAF。在高级CDN特性、托管DNS、IAM和其他非安全特性方面,它的云服务落后于领先的CDN竞争对手。

2、Imperva WAF网关不适用于容器环境或谷歌云。

3、除了API安全策略模块之外,Imperva的云WAF安全引擎主要依赖于基于规则的负安全模型。行为分析可以减少误报的数量,但它还没有用于检测以前未发现的攻击。Imperva的原生机器人缓解功能在基于行为的检测方面落后于其主要竞争对手。

4、云WAF无法对文件进行恶意软件检测。它不会将HTTP 2流量转发到源;它会将其降级为HTTP 1.1。

5、Imperva在中国和印度的存在是有限的。客户反映难以得到当地的支持和及时的答复。

绿盟科技

绿盟科技下一代WAF,可有效抵御OWASP Top 10等各类Web安全威胁、应用层DDos攻击以及保障用户API安全。提供资产自发现、多引擎联合防护和策略自动调优的专家系统。并联合bot缓解、集中管理及MSS for WAF为用户提供一套完整的Web安全解决方案。

创立时间:2000年4月

员工人数:3000余人

总部:中国 北京市 海淀区

典型交易规模:10-50万

产品名称:绿盟Web应用防火墙

创始人:沈继业

产品/服务内容:

1、安全防御类 绿盟Web应用防火墙WAF

2、安全评估类 绿盟安全远程评估系统RSAS

3、安全防御类 绿盟网络入侵防御系统NIPS

融资:2014年1月29日上市

产品优势

1、大规模集群部署-绿盟科技WAF支持集群部署,通过与客户现有负载均衡设备进行无缝对接,当新业务上线及旧业务扩容时无需断网(可随时割接),并满足在报障应急时快速切走流量,对业务无影响,满足高可用性、高可靠性要求。

2、WAF集中管理-绿盟WAF可以通过集中管理平台对多台设备进行统一管理,可对设备统一接入、防护策略批量下发、设备状态集中监控等功能,满足大规模部署环境下的集中管理需求。

3、智能检测引擎-绿盟WAF通过使用机器学习方法的攻击检测机制,对海量的攻击样本进行学习构建模型,引入误报率更低、性能更优的智能检测引擎,降低传统规则防护难以调和的漏报率和误报率。

4、海量威胁情报信誉库-绿盟WAF可与具有42亿全球IP资产的绿盟威胁情报中心对接,从而实时获取丰富的高危信誉IP,在WAF上自动生成防护策略。

5、MSS for WAF-绿盟WAF可以实现与绿盟科技云安全中心对接和同步,由安全专家团队协助用户对网站安全隐患和遭受的攻击威胁进行7*24小时全天候监控。

差异化特点

1、XML防火墙-通过XML防火墙功能,抵御XML实体攻击、基于SOAP的SQL注入攻击以及验证提交违规的XML,有效保障用户的API安全。

2、分级DDos清洗联动-绿盟WAF支持“基于行为”的DDos防御能力,同时当面临海量DDos攻击时,可自动通知绿盟专业抗D设备进行流量清洗,保障业务高可用。

3、精细化策略配置-绿盟WAF将站点看做用户的客户资产,将资产所用的安全策略⸺各种安全规则的集合视为资产的属性之一,并个策略而失去防护效果。策略模版可以在IP+端口不同、业务环境相似的站点之间进行复用,方便运维。行放行处理,提高客户的访问速度和降低对设备性能的压力

未来挑战

未来Web安全威胁将更加严峻,除传统漏洞利用外,信息泄露、API防护、越权攻击,提供hybrid管理能力会对未来Web安全防护及运营形成挑战。

安恒信息

安恒信息研发的明御Web应用防火墙(简称:WAF)是一款专注为网站、APP等Web业务系统提供安全防护的专业应用安全防护产品,对网站及APP业务流量进行多维度、深层次的安全检测和防护;采用深度机器学习及威胁情报技术,通过主动安全与被动安全相结合方式识别可疑、已知、未知安全威胁, 有效保障网站及APP业务安全可靠运行。

创立时间:2007年5月15日

员工人数:2000

总部:浙江省杭州市

典型交易规模:2-20万人民币

产品名称:明御Web应用防火墙(硬件WAF)、明御云Web应用防火墙(软件WAF)、玄武盾(云WAF)

创始人:范渊

产品/服务内容:

1、应用安全,相关产品包括WAF、防篡改软件、网站监测平台、EDR、Web漏扫和主机漏扫、APT、远程安全评估系统、等报工具箱等产品

2、大数据安全,相关产品包括数据库审计、数据库防火墙、SOC、大数据智能安全平台等产品

3、云安全,相关产品包括威胁情报服务、玄武盾云安全防护、云监测服务、天池云安全管理平台、安恒云等产品

融资:已上市

产品优势

1、安恒新一代智能WAF具备威胁情报能力,出厂内置90万条高威胁的情报数据,与云端威胁情报中心实时联动更新情报数据,主动发现僵尸IP、扫描IP等恶意IP发起的访问行为。内置语义分析检测引擎、机器学习检测引擎,通过语义分析引擎针对SQL注入、XSS、Webshell攻击进行安全检测;通过机器学习引擎建立正常的流量Profifile,实现对正常流量的检测放行同时对未知攻击行为的拦截。

2、与其他多款安全产品全面动态联防,形成立体防御体系,包括APT产品、大数据分析平台等产品的安全联动。

3、内置SSL硬件加速卡,提升HTTPS的处理性能

4、提供针对政务云、金融云等私有云/数据中心的超大集群Web应用安全解决方案

差异化特点

1、安恒同时提供硬件WAF及云WAF服务。基于零部署零运维的SaaS服务模式,10分钟即可有效接入,通过威胁情报、DDoS防护、Web防护、CC防护、数据防护5大防护模块为用户提供防攻击、防篡改、防瘫痪、防泄露等安全防护。基于硬件WAF和软件WAF满足传统网络、私有云环境的安全防护需求。

2、安恒新一代智能WAF通过机器学习技术取代传统WAF的自学习技术,基于统计学算法提高机器学习建模的准确性、稳定性、自动更新的能力,除了保留传统的构建正常流量Profifile对异常行为进行检测之外同时也反其道而行之,通过构建的Profifile对正常的流量进行放行处理,提高客户的访问速度和降低对设备性能的压力

3、安恒新一代智能WAF于语义理解的检测引擎逐步代替传统的规则,通过语义分析技术实现对输入内容进行合规性的检验,结合上下文的关联判断是否属于攻击行为。同等检出率情况下, 误报率显著降低,实测误报率为特征引擎的5%左右,并且基于语义分析拥有一定的未知威胁的检测能力

未来挑战

1、当前WAF在安全防护的误报率和漏报率方面还有待提高,需要加强对机器学习技术的研究和投入,彻底摆脱对现有传统安全引擎的依赖,真正做到更智能、易维护,实现对未知攻击和0day攻击的检测识别

2、当前互联网流量中有50%的bot访问的网站是恶意的,在所有攻击事件中,bot恶意访问占据了很大一部分比例,包括参与DDoS攻击、发送垃圾邮件、窃取网站内容、褥羊毛等等,因此对恶意bot的防范成为WAF另外一个关键点

3、近几年随着国内云计算的兴起,各地在承建政务云、金融云等私有云和混合云,传统的硬件WAF已无法满足客户的安全需求,软件WAF在云环境中如何给客户提供高性能可横向扩容的集群解决方案,如何满足云环境的租户隔离需求这也是未来需要面对的问题。

奇安信

云WAF:

1、可以防护网站面临的 SQL 注入攻击、跨站脚本攻击、命令注入攻击、Web Shell 木马后门上传、服务器敏感信息泄露、扫描攻击等常见的 Web 攻击。

2、可以防御攻击者对网站发起的比如 Syn Flood 攻击、Tcp Flood 攻击、NTP 反射放大攻击等大流量网络层 DDoS 攻击;可以针对应用层 CC 攻击进行防护;提供 DNS 解析服务并提供高防 DNS 能力,以保护网站域名的正常解析。

3、将用户请求流量及网站响应流量按照配置策略缓存在全国各地的节点机房按照访问链路质量就近响应,以加快数据传输速度。

硬件WAF:

1、通过对数据流中包含的相关数据进行自动分析和摘取。可以自动学习到网站域名、网站服务器IP地址、服务器端口等相关信息,并自动生成防护列表。

2、软硬件相结合方式实现网页防篡改,对于网站的“读、写”权限进行封锁,实时监控网页状态和网络状态,一旦发生网络中断网页防篡改自动锁定页面,当发现篡改行为时第一时间还原网页内容,保障网页真实性。

创立时间:2014年

员工人数:8000

总部:中国北京

典型交易规模:10-30万人民币/年

产品名称:奇安信Web 应用防火墙(硬件WAF)+安域Web应用安全云防护系统(云WAF)

创始人:齐向东

产品/服务内容:大数据态势感知、NGSOC、威胁情报、云安全、Web安全

融资:B+轮

产品优势

云WAF:

1、基于奇安信补天平台、网站安全研究员、漏洞应急响应中心、产品线安全防护小组的漏洞监控和防护更新,对各种应用层Web攻击进行全面防护。以大数据云端协同联动技术和威胁情报分析技术为基础精准防护。拥有近180万网站攻击防护经验,是防护功能全面、技术先进、经验丰富的网站安全云防护系统。

2、全国近30+的云端防护节点,可为用户网站提供高达1T的云端DDoS攻击清洗防护服务,基于流量自动建模技术对CC攻击作出自动响应防护,将拒绝攻击清洗于客户数据中心之外

3、可以在云端通过全局负载均衡系统对访问者请求和网站服务器响应数据做智能调度,由近源的缓存节点对访问者请求做出响应;

智能DNS系统可以对用户网络进行判断分析并进行智能调度,让用户访问联通走联通、电信走电信,提高用户访问体验。

4、规则全平台自动更新,无需客户手动触发。

5、提供的爬虫防护能力,能基于设备指纹特征、历史访问统计、实时访问情况、威胁情报等多维度的判断标准,能解决客户网站的重要信息被非法爬虫获取和网站性能损失等问题。

6、在界面能满足WAF、缓存、访问控制、CC和爬虫防护的细粒度配置需求。

硬件WAF:

智能化防御理念,以“云端”数据与“本地”数据进行数据交互,让一个传统安全产品具备智能识别的能力,从而让简单的特征库识别能力具备了智能化判定的新防护能力。

差异化特点

奇安信WAF可以高效利用威胁情报,威胁情报中的入站数据有僵尸网络、网络攻击、扫描器、恶意IP/URL、钓鱼网站等网站安全等相关安全情报。威胁情报中心与Web应用防火墙实现数据共享后,可以根据情报来阻断访问网站的攻击行为。大大提高了网站的安全性,降低了网站的安全风险。

云WAF可以与其云监测产品有联动机制,一旦云监测产品发现网站存在漏洞,会告知云WAF产品通过调整策略的方式使漏洞不可被探测和利用。

未来挑战

云WAF:

客户的运维问题,策略配置的优化问题,通用策略和个性化策略的平衡。云端智能决策的如cc和爬虫防护的策略有效性与误报的平衡,只方面通过策略例外、细粒度的http访问控制策略来做,对客户自身的安全配置能力有较高要求。

硬件WAF:

客户的运维问题,策略配置的优化问题,网站开发无标准化导致客户自己也不了网站的架构、防护策略优化范围霁重点,解决需要从源头网站开发架构、数据库编写标准化开始。

3.3 开拓者

传统公司上云转型,企业架构正因云技术红利而发生变革。众多云提供商也越来越关注安全领域,推出具有创新性的云安全产品。

华为

华为云Web应用防火墙(Web Application Firewall)对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,阻挡诸如SQL注入或跨站脚本等常见攻击,避免这些攻击影响Web应用程序的可用性、安全性或过度消耗资源,降低数据被篡改、失窃的风险。

创立时间:1987年

员工人数:194000

总部:广东深圳

典型交易规模:3880-9880 每月

产品名称:华为云WAF应用防火墙

创始人:任正非

产品/服务内容:

1、通信及网络安全设备

2、智能终端

3、云计算与云安全服务

融资:民营

产品优势

1、部署方式灵活

支持云WAF常见的简洁配置cname接入方式;也支持VPC内部独享防护实例场景。

2、变形攻击识别能力强

华为云WAF具有很强的变形攻击识别能力,基于专利技术能识别十几种编码、多层编码、混合编码的绕过攻击。包括18种类(UrlEncode、Unicode编码、XML实体编码、HTML实体编码、HEX编码、八进制编码、截断绕过、大小写转换绕过、SQL双关键字绕过、SQL注入注释绕过、php字符串拼接、chr函数拼接绕过等、空格压缩、form表单、Json解析、XML解析、Java序列化解析、muti-part解析、base64等),防御在业务编码场景下的攻击绕过,威胁检出率大幅提升。

3、针对紧急漏洞应急速度快

拥有华为全系网络安全防护产品的全球安全态势感知能力,结合WAF防护策略的快速验证下发通道,在紧急漏洞爆发时,具备2小时应急防护能力。

差异化特点

1、支持企业级安全合规需求

支持PCI DSS合规认证的TLS、SSL Ciphers版本,支持客户业务轻松实现合规认证;防护事件日志的敏感字段脱敏配置等,避免涉及用户名、密码、手机号码等敏感信息在运维面的泄露。

2、灵活的自定义攻防策略

支持多种组合条件的CC限速策略;最大支持万级的IP黑白名单配额;自定义拦截页面进行定制等。

未来挑战

API的Robot防护是一个挑战,主要难点是针对浏览器、人机等场景识别的Javascript、挑战码等在此场景下不再适用。通过机器学习能力,利用传输协议层参数等信息增加特征维度结合其他信息对行为建模是一个有效的趋势。

在IPv6、5G普及,终端网速带宽提升的预期下,攻击者很容易获取更多IP地址和带宽,更多的IP地址使信誉库作用大打折扣,CC攻击防护将会更加困难。因此未来WAF的限速机制应淡化IP信誉的维度,从其他更多的维度,结合机器学习算法综合建模。

当前云WAF产品的定制化能力跟传统设备相比,还是有明显不同。其中云WAF配置简化更适合中小企业,未来更多拥有专业安全运维团队大企业上云,对云WAF的定制化能力,VPC内部防护、更快的容灾恢复能力,对云WAF的架构演进都会有很大的促进。

阿里云

阿里云Web应用防火墙对网站或者APP的业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵,保障业务的核心数据安全,解决因恶意攻击导致的服务器性能异常问题。

创立时间:2009年

员工人数:数千人

总部:中国浙江省杭州市

典型交易规模:可联系了解详情

产品名称:阿里云Web应用防火墙

创始人:阿里巴巴集团

产品/服务内容:云计算产品

融资:阿里巴巴集团

产品优势

1、采用深度学习AI引擎,通过大数据分析实现”千人千面 ”的流量精准防御,解决以往客户误漏报严重的传统问题;

2、深入HTTP全字段流量检测分析、建设多维度的解码防混淆、防绕过策略机制;主动防御机制,以白流量模型实时发现异常访问行为、有效对抗0day渗透、非常适用于重大活动安全保障场景;

3、聚焦业务安全,对账号、API等核心资产进行在线检测异常访问,内置强大人机识别能力,应对黄牛党、撞库等各类高危风险;

4、从APP SDK到云端防护, 提供全链路的安全检测防护机制,无需用户改动开发代码,即可轻松实现客户端的合法指纹识别,有效拦截异常客户端如脚本、bot代理访问;

5、强大的全流量日志访问智能检索系统,HTTP全字段存储及智能搜索,支持SQL丰富语法的快速统计查询、极大提升安全运维效率;

6、丰富完整的产品形态及全球化20+节点覆盖,提供cname 接入、软件模块化接入和API 接入三种方式。

差异化特点

1、建设应用安全网关、结合DDoS、WAF、人机识别等核心安全技术,打造统一云防护平台,为用户提供一站式应用安全解决方案

2、AI引擎 + 正则引擎 + 主动防御 + 自定义规则组,多维度、不同层次结合的综合性Web防护策略,建立纵深防护体系有效过滤异常访问,做到最好的Web应用护航保障;

3、关注业务安全,无需用户进行代码改造,利用强大的人机识别技术,轻松对抗黄牛/羊毛党,解决秒杀抢购、大促等常见业务问题;

4、结合云原生技术,与云基础产品SLB、ECS天然结合,支持结合Devops,天然融入用户的日常运维中,让安全与业务结合更加紧密。

未来挑战

基于云原生技术,给云用户带来天然无感知的安全体验,在用户无需更改网络架构的前提下(如DNS解析等),实现纯透明代理方式防护,解决用户担心架构变动的顾虑

未来更多的用户将采用云上云下业务并行的方式,如何在用户线下流量不上云防护的前提下,为线下IDC机房及云上业务提供整体的统一安全解决方案,需要思考最佳的混合云安全方案;

针对客户端定制的加密流量,目前还缺乏看见真实流量信息的手段,导致防护效果不佳,需要找到对应场景的解决方案;

护网行动更多的挑战每一次入侵测试的完整分析,需要从海量的攻击请求中筛选出最有效、有价值的攻击链路分析,提升攻防运营效率。

腾讯

腾讯云Web应用防火墙是对网站或APP服务进行安全和合规性保护的应用安全防护产品。通过AI引擎和规则引擎识别恶意流量并处理,提高Web站点的安全性和可靠性;通过行为数据分析,对抗恶bot行为,保护网站核心资产,为客户网站核心业务安全和数据安全保驾护航。

腾讯云 WAF 提供两种类型的云上 WAF,SaaS 型 WAF 和负载均衡型 WAF,两种 WAF 提供的安全防护能力基本相同,接入方式不同。

创立时间:1998年11月

员工人数:6万+

总部:中国 广东省 深圳市

典型交易规模:3880-28800/月

产品名称:T-Sec Web应用防火墙

创始人:马化腾

产品/服务内容:腾讯安全是由腾讯公司打造,以腾讯安全联合实验室作为实力技术支撑的互联网安全领先品牌。腾讯安全旗下产品已成为中国最强的互联网安全矩阵,包含面对用户的全方位网络安全应用、对企业与政府网络安全的系列解决方案,已发展成为保卫腾讯互联网业务发展及用户、企业、政府三方网络安全的国防军。

融资:已上市

产品优势

1、AI+规则双引擎防护

在安全规则引擎进行 OWASP Top 10防御(如SQL 注入、非授权访问、XSS 跨站脚本、CSRF 跨站请求伪造、命令行注入等)的基础上,引入 AI 防御能力,通过交叉验证持续学习,精准有效捕捉各类常规 Web 攻击、0day 攻击及其它新型未知攻击。

2、提供bot行为管理

提供超过1000种公开bot类型,可快速设定防护策略。

提供已知、未知和自定义类型bot防护和详细报表统计,快速定位和防御恶意 BOT,保护网站业务安全。

3、智能 CC 防护

综合源站异常响应情况(超时、响应延迟)和网站历史访问数据,智能决策生成防御策略,实时拦截高频访问请求,封禁攻击源。

一键无缝接入百 G 抗 DDoS 攻击能力,轻松应对敏感大流量 DDoS 攻击问题,无惧突发风险。

4、IPv6 安全防护

腾讯云WAF同时具备IPv6安全防护能力,通过接入负载均衡型WAF,客户可快速获得IPv6防护能力。

差异化特点

1、WAF多种接入防护方式

区别于其他WAF厂商,腾讯云WAF除了提供CNAME接入方式,同时能够让腾讯云CLB负载均衡客户无需改变现有网络架构并快速接入WAF安全防护,有效提升防护稳定性,减少业务延迟;此外,腾讯云WAF将于3月上线CDN接入方式,为用户提供更多接入模式和防护手段。

2、AI安全防护

在规则防护基础上,用户使用独享AI防护引擎,通过业务流量自学习生成防御模型,用户也可以对攻击进行在线验证,通过产品控制台提交漏报和误报进行自学习,有效提高Web攻击的检出率和降低误报率。

未来挑战

云平台上的超大流量客户逐渐增多,客户的需求也越来越多样化,对产品接入方式、网络延迟和系统稳定性要求不断提升,这对腾讯云的Web应用安全防护系统带来持续性的挑战。

随着越来越多的客户将企业核心业务迁移到云平台,客户希望安全厂商能够提供整体的应用安全主动防护方案,而不仅仅局限于网站安全,例如:bot行为管理、API安全,如何使用新技术不断完善Web防护防护,是腾讯云WAF面临另一个挑战。

知道创宇

为解决互联网时代的党政机关、企业网站系统安全状态严峻、大型网络平台被黑事件频发、勒索软件持续入侵大型系统等问题,由北京知道创宇信息技术股份有限公司国际顶尖安全专家组成的安全研究团队研发的基于大数据平台结合AI人工智能技术,针对各类网站、Web Mail、OA系统、CRM 系统,公众号服务、小程序服务等等提供高可靠性、高稳定性、易部署的防Web应用攻击、防后门、 防数据窃取等相关功能的下一代智能云防护平台。

创立时间:2007年

员工人数:1000+

总部:中国北京市朝阳区

典型交易规模:4.8-30万/年

产品名称:创宇盾

创始人:赵伟

产品/服务内容:云防御(创宇盾)、网络空间测绘(zoomeye)

融资:C轮,估值20亿

产品优势

平台通过对云协同防御、精准访问控制、动态访问控制、基于 AI 的智能语义解析引擎、SSL Keyless、站锁防护和自动化攻击溯源等方面进行技术创新,利用大数据及云计算技术 现基于安全大数据的实时协同防御;通过 AI 技术实时进行多维度分析 , 及时感知网络空间安全态势,动态优化网站防御策略实现顶级动态防御矩阵;通过已拥有全国最大的风险样本库,抵御已知的 OWASP Top10 的黑客攻击行为,实现基于云计算的军工级 WAF 产品。

差异化特点

1、资源无限弹性的云WAF

创宇盾平台基于动弹延伸的分布式计算框架构建的资源弹性调度的云WAF,可以做到带宽和节点地域的无限制弹性,可以支撑客户业务的动态变化,保障业务连续稳定性的同时,又可以实现带宽节点资源的高效利用。

2、基于安全大数据的全网协同防护机制

创宇盾为超过90万业务系统或网站提供Web应用攻击防护,每天可以捕获大量的攻击样本,其中有大量的新攻击方法和0day利用。

通过基于安全大数据的全网协同防护机制,我们可以最大限度的缩短0day攻击窗口期,实现一个网站或业务系统被攻击,防护下的其他网站或业务系统可以及时主动防护。

3、独创站锁机制,为网站提供多维度立体防护能力

基于分布式计算框架和网站业务精准画像监测技术,为网站提供多维度站锁功能,以减少网站脆弱性短板,并在特殊时期为网站提供全站内容锁定技术,阻断对网站或业务系统的篡改攻击。

未来挑战

1、 WAF本身是一个比较老的品类,功能同质化严重。

2、随着云计算和企业上云的规模化法阵,云WAF市场竞争持续加剧。

3、5G/IPV6/IoT 带来的互联网、物联网技术革新,对云WAF的防护技术和产品形态带来了新的挑战。

4、当前国际形势变幻莫测,网络战已经成为第五战场,来自国家之前的网络攻击,对包括云WAF在内的安全产品和防护体系提出了新的挑战。

3.4 优秀开源方案

开源WAF因其免费、轻量级、搭建方便、可定制化程度高等原因,成为大量中小型企业的首选方案之一。

ModSecurity

ModSecurity是一款开源的跨平台WAF引擎,用于Apache,IIS和Nginx,由Trustwave的SpiderLabs开发。ModSecurity为目前世界上应用最广泛、知名度最高的开源WAF产品,被称为WAF界的“瑞士军刀”,目前已更新至3.0.4版本。

① 功能介绍

SQL Injection (SQLi):阻止SQL注入

Cross Site Scripting (XSS):阻止跨站脚本攻击

Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击

Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击

Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击

PHP Code Injectiod:阻止PHP代码注入

HTTP Protocol Violations:阻止违反HTTP协议的恶意访问

HTTPoxy:阻止利用远程代理感染漏洞进行攻击

Sshllshock:阻止利用Shellshock漏洞进行攻击

Session Fixation:阻止利用Session会话ID不变的漏洞进行攻击

Scanner Detection:阻止黑客扫描网站

Metadata/Error Leakages:阻止源代码/错误信息泄露

Project Honey Pot Blacklist:蜜罐项目黑名单

GeoIP Country Blocking:根据判断IP地址归属地来进行IP阻断

② 优势

完美兼容nginx,是nginx官方推荐的WAF;

支持OWASP规则;

3.0版本比老版本更新更快,更加稳定,并且得到了nginx、Inc和Trustwave等团队的积极支持。

免费

③ 劣势

不支持检查响应体的规则,如果配置中包含这些规则,则会被忽略,nginx的的sub_fifilter指令可以用来检查状语从句:重写响应数据,

OWASP中相关规则是95X;

不支持OWASP核心规则集DDoS规则REQUEST-912-DOS- PROTECTION.conf,nginx本身支持配置DDoS限制;

不支持在审计日志中包含请求和响应主体。

ShareWAF

ShareWAF是一款具有创新性,并部分功能开源的WAF产品。

① 功能介绍

除具备防SQL注入、防扫描等等传统WAF功能外,ShareWAF更有多种创新。

如:浏览器端WAF、JS代码保护、动态变形元素、3D态势感知、传输加密、大数据防护等。

ShareWAF防护不再局限于服务器端,而是覆盖客户端、传输中、服务器端,提升为三重立体防御。

且不再是被动式的防御,而是被动、主动结合,进一步提升了防护性能。

ShareWAF的多个重要功能是开源的,如:浏览器端WAF、负载均衡功能、守护进程功能、反爬虫功能。

② 优势

创新、动态防御、开源。

③ 劣势

稳定性、兼容的不确定性。

ShareWAF作为市场新兴产品,不可避免地存在一定风险,可能带来功能的稳定性问题、性能问题、与业务系统的兼容性问题等,仍需要接受时间和市场的检验。

第四章 附录(欢迎讨论)

FreeBuf咨询期望借由《2020年国内WAF产品研究报告》,反映国内相关产业真实现状、理清行业发展趋势、细数业内优势产品,为企业安全建设提供有效参考。

用于支撑本报告的信息来源包括来自数百家公司的问卷调查结果、整合大量网络公开资料并对之进行深入分析等。

4.1 调查问卷

1、您所在公司目前IT基础设施构建在?

⸺公有云

⸺IDC机房

⸺公司自建机房

⸺混合云、私有云租用机房

2、您所在的公司边界防护设备都有哪些?

⸺传统硬件防火墙

⸺下一代防火墙

⸺Web应用防火墙

⸺Anti-DDoS设备

⸺入侵检测/防御产品7

⸺统一威胁管理

⸺NAC网络准入,网络隔离(网闸)

⸺其他

3、如果您所在的企业使用WAF,请问是以哪种形式存在?

⸺硬件Web应用防火墙

⸺云WAF

⸺安装在Web服务器上的WAF模块

⸺软件形式的WAF集群

⸺开源自建WAF

4、在的企业使用WAF解决方案的困惑在于?

⸺云WAF数据隐私保护问题

⸺影响业务性能

⸺费用昂贵

⸺WAF规则维护成本高

⸺防御检出有效度

4.2 参考资料

从零开讲企业怎么选WAF

WAF产品经理眼中比较理想的WAF

Magic Quadrant for Web Application Firewalls

5、您认为WAF产品在后续开发中应该增强哪些能力?

⸺上下文理解能力

⸺语义分析能力

⸺审计举证能力

⸺情报能力

⸺业务安全防护能力

⸺协同能力

⸺AI能力

6、您认为WAF产品应该包含哪些新的功能?

⸺针对企业定向攻击事件的分析

⸺通过扫描器验证Web攻击数据的有效性

⸺集成和共享威胁情报库

⸺页面混淆,动态防御

⸺可以进行流量审计

⸺集成或联动RASP分析

⸺容器部署方式

⸺其他

7、您所在的企业WAF是否开启了拦截功能?

⸺是

⸺否,_原因

8、您所在的企业部署了哪款WAF产品?

9、关于WAF产品您还有哪些想说的?