阿里云云盾Web應用防火牆深度測評

在今年的WitAwards 2016互聯網安全年度評選中，阿里云云盾Web應用防火牆（WAF）以其技術和服務贏得了大眾和評委的認可，斬獲「年度雲安全產品及服務」獎項。實際上，WAF已經成為企業守護web應用的常規安全產品，那麼雲盾WAF在競爭對手間獲得這個獎項的原因在哪兒呢？

1. 從防火牆到雲WAF

Web應用防火牆簡稱WAF，這是目前絕大部分有互聯網業務的企業用戶都會接觸到的一類安全產品。WAF本身隸屬於應用防火牆類別（基於網路的應用防火牆），和狀態防火牆的典型差異就在於，後者是無法控制特定應用的網路流量的——而WAF專門負責從web應用，或者是去往web應用的HTTP流量過濾、監控和攔截。

WAF通過檢查HTTP流量，來阻止web應用安全漏洞攻擊，比如說SQL注入、XSS和安全不合理設置等等。WAF部署在web應用之前，分析雙向基於web的流量，檢測和阻止所有惡意流量。

這一類產品的出現也並不晚。專門針對Web應用的防火牆相較應用防火牆的出現晚了大約10年。最早的防火牆由Perfecto Technologies製造，當時其AppShield產品主要針對的是電子商務市場。後來Perfecto更名Sanctum，他們列出了相關Web應用前Top 10入侵技術，實際上也為WAF市場打下了基礎。

2002年，開源項目ModSecurity的出現讓WAF技術得到進一步普及，解決了不少行業內的問題，包括成本、專有規則建立等等。ModSecurity敲定了一些核心規則用於防護Web應用。2003年，WAF工作藉由OWASP的Top 10列表再度做了擴展和標準化，這個列錶針對Web安全漏洞做了年度總結——很快也就成為行業內的基準。到2010年，來自Forrester的數據，WAF市場規模突破了2億美元。

隨著雲計算技術的普及，雲化的WAF也不再是新概念，許多雲服務提供商也有相應基於雲的WAF推出，國際上有AWS，而國內則由阿里雲領先，騰訊、Ucloud也有相應雲WAF產品。

那麼雲上的WAF和傳統部署到企業機房中的WAF有何差別呢？對用戶而言，如雲盾WAF這類產品不需要做軟體和硬體方便的變更。通過DNS變更令所有web流量通過WAF，再做流量檢查。

其次，基於雲的WAF一般都是中心化部署的，這樣一來所有的雲端用戶可以做到威脅檢測信息的共享，這是雲計算原本就有的優勢。對於提升檢出率、降低誤報率很有幫助。另外和其它基於雲的解決方案類似，基於雲的WAF也具有彈性特點，隨用戶所需做規模變更。

所以這類產品對於基於雲的web應用，以及需要Web應用安全但又不打算或者沒有能力在系統中做軟體或硬體變更的中小型企業來說，是相當理想的產品。

綜合來說：基於雲的WAF理應有下面這些特點：

- 有彈性，可擴展；

- 快速；

- 易於設置；

- 提供所謂的pay-as-you-grow服務；

- 可共享威脅檢測信息。

其中的易於設置，對很多中小型企業而言的確非常重要。用戶並不需要針對系統做出任何軟體和硬體上的變化，就能起到對Web應用的防護，應用定製化的規則。

2. 阿里云云盾WAF產品試用體驗

FreeBuf在大會現場也簡短採訪了阿里雲高級產品專家祝建躍，他提到雲盾提供的是各個行業都需要的通用安全服務。他認為，雲計算就類似企業的操作系統，所以作為操作系統廠商應該做的就是提供基礎的安全服務。企業不用研究安全，不用擔心基本運維，只需在雲計算平台上按自己需求組建業務架構，這和我們在採訪肖力的時候所說一致。

基於此框架，阿里云云盾有著自己的安全防護機制，分為情報、感知、防禦三個維度，通過威脅情報共享和產品聯動，來控制風險。雲盾WAF就屬於其中的「防禦」關卡。

阿里雲高級產品專家 祝建躍

FreeBuf小編對阿里云云盾WAF產品進行了試用。如前文所述，基於雲的WAF產品本身有著便捷的特點，並不需要由用戶對軟體和硬體做出變更，部署WAF防火牆就只是一鍵操作的過程，這一點在雲盾WAF使用中也能明顯感覺出來。在阿里雲的管理控制台上，左側邊欄就有雲盾的各類產品可選，其中就包括了WAF（實際上在我的產品中也能找到這個選項）。

2.1 基礎功能介紹

我們這次獲得試用的是企業版。除了企業版之外，用戶也可以選擇「旗艦版」，其差異主要在於支持QPS流量達到10000（企業版為5000）；CC防護QPS 500000（企業版為100000）；訪問控制規則支持200條（企業版為50條）；帶寬更大；另外旗艦版的安全防護可做參數規格定製。其他包括支持的業務、域名等都是一致的。

在產品界面上，只需要在域名管理商處添加CNAME記錄，即可將Web流量轉發至WAF——使用CNAME的好處在於網站不對攻擊者暴露地址、避免繞過Web應用防火牆做攻擊。

域名配置界面可以管理所有域名（至多10個），每個域名對應欄目都能看到是否已經接入WAF，最後一次遭遇攻擊的時間；以及各種安全開關的快速預覽——防護配置中有各類防護開關，包括Web應用攻擊防護、惡意IP懲罰（某個IP在短時間內多次Web攻擊，則可設置封禁該IP一段時間）、封禁地區、CC安全防護、「精準訪問控制」、數據風控和「新智能防護引擎」。當然其中具體的規則需要用戶自行設定，但相比傳統的WAF，雲WAF操作簡單快捷的特點也在此體現。

其中值得一提的是WAF的友好觀察模式，它可以針對網站新上線的業務開啟觀察模式、對於匹配中防護規則的疑似攻擊只告警不阻斷、方便統計業務誤報狀況；

雲盾WAF的另外一個值得一提的功能是CC攻擊防禦：WAF對單一源IP的訪問頻率進行控制、重定向跳轉驗證、人機識別等。而針對海量慢速請求攻擊、識別異常referer、User-agent等信息的請求，可結合精確訪問控制過濾。CC防禦是很多網站關心的內容，作為一款線上WAF，阿里云云盾可以利用雲上的資源彈性伸縮的特點，更好地防禦攻擊。簡單來說就是同樣的攻擊，在本地可以採用跟雲上一樣的技術手段來進行防禦。但本地的帶寬和伺服器資源都有限，當攻擊大到一定程度的時候，本地資源就會出現瓶頸，這時候各種技術手段都沒有意義了。

因此，擁有大量雲資源對於大規模攻擊而言，是個重要優勢。這也是雲WAF的優勢之一。

再次是精準訪問控制：阿里雲WAF支持IP、URL、Referer、User-Agent等HTTP常見欄位的條件組合，構造精準訪問控制策略，這個功能可以用來作為盜鏈防護、網站後台保護等防護場景。

在這些設置搞定之後，了解Web應用安全自然也是產品需要做的，包括告警等內容。在產品總覽界面，可見針對中國大陸、中國香港和新加坡，不同地域所推的服務是有邊界之分的。

主界面主要給出了Web攻擊、CC攻擊和訪問控制事件的30天曲線圖，讓用戶了解攻擊頻率和趨勢。消息列表則給定了公告和規則更新事件。

界面頂部有個鈴鐺模樣的告警查看按鈕，點擊即可Web應用防火牆攻擊總覽。我們自己嘗試對站點進行注入攻擊，亦實時從這個下拉菜單中看到攻擊次數，點擊進去就可以了解攻擊詳情。

進入安全總覽中的詳細安全報表，這部分依舊與總覽界面的曲線圖對應，分成了Web應用攻擊、CC攻擊和訪問控制事件。主體顯示昨天、今天、7天內和30天內的攻擊概覽；攻擊類型佔比；還有攻擊來源IP Top5與區域Top 5。

當然如果要查看某個攻擊來源IP的攻擊詳情，也可以在下面的每一條日誌中點開了解。

而在「業務分析」界面，周期同樣是昨天、今天、7天和30天內的。實際上這是個比較簡單的業務數據呈現，比如請求來源區域Top 5、訪問IP次數Top 5和訪問瀏覽器餅圖等。

基於雲的WAF上手過程本身就是無痛的，用戶也不需要關心WAF具體是如何布局的，點幾個按鈕即可完成操作。如果要歸結這種便捷的使用體驗，大概主體上就是雲計算技術帶來的吧。雲盾WAF本身在管理控制台的設計上也比較簡單合理，用戶幾乎不需要什麼學習成本。

2.2 特色功能介紹

如果只談雲端配置WAF的使用體驗和相關WAF的這些功能，那顯得相當常規。獲得WitAwards 2016還是需要一些殺手鐧才行的。

前文在防護配置中就提到，雲盾WAF這款產品有「新智能防護引擎」和「數據風控」特性可選。這兩者實際上也是雲盾WAF得以脫穎而出的根本所在。所以我們也有必要重點談一談這兩項特性。

智能語義檢測

雲盾WAF使用了智能語義檢測來識別風險。這與傳統的「規則檢測」不同，傳統的規則檢測原理是每個會話都要經過一系列的安全檢測，每項檢測都由一個或多個檢測規則組成——如果匹配檢測規則，請求就會被認為非法。這實際上是很常規，所有人都認為理所當然的一個思路。

這種方案的弱點在於不夠變通，在識別風險時往往走向兩個極端，要麼規則不夠全面，造成漏報；要麼規則過於嚴格，造成誤報。並且基於規則的WAF需要一個強大的規則庫支撐，並且規則庫需要及時更新來應對最新的攻擊。對運維人員來說，規則條目變得很複雜，規則庫維護困難。一旦這種問題變得比較嚴重，某些規則含義到後來都會遺忘。這是阿里云云盾WAF期望解決的問題。

另外基於規則的檢測當然也是不能有效防禦未知威脅的。

而智能語義檢測則是類似對請求的「語義」進行分析。首先把同類行為特徵歸併起來，再根據合法應用數據檢測建立統計模型，以此模型為依據判別實際通信數據是否是攻擊。簡單來說就是用自然語言的語義來理解並且描述同一類攻擊。攻擊特徵的排列組合就是攻擊的語義化。

這樣就能撥開各種變形看到真相，把攻擊行為「語義化」。這樣「高邏輯性」「高條理性」的方法能夠減少規則庫數量，也能降低維護成本。按照阿里雲的說法，「對於防禦位置威脅、0day攻擊尤其有效」。

阿里雲WAF的宣傳中提到，通過技術創新使得

規則條數下降70%，運營成本降低50%

這招聽起來似乎很高深，不過就像前文所述，雲服務提供商本身的優勢之一就是在整個平台上威脅數據的共享。所以針對大量威脅，雲服務提供商都收集有足夠多的數據可供分析，利用大數據機器學習的方案，自然可以讓安全做得更到位。在我們看來，這裡的智能引擎本質就是大數據在安全方面的典型應用。

這些數據是惠及雲平台的所有用戶的，從本質上來說，這就是雲計算技術帶來的便利。

業務風控防護

業務安全和Web安全實際上一直都具有很強的關聯性，所以阿里云云盾WAF團隊的看法是，如果只防業務安全，沒有Web防護打地基則產品會顯得很單薄。要推令人滿意的產品，減緩業務層干擾，就需要這款產品的接入、上心、更新速度都加快，對透明度要求也比較高。

能夠做到透明接入、快速上線的安全產品，WAF就是其中一個，其接入簡單、對業務又幾乎沒有什麼干擾。不過一般WAF的確也智能對SQL注入、XSS這類常見攻擊做防護，業務數據風控是個比較精細化的活。所以WAF團隊期望將數據風控和WAF放到一起。

這是我們在雲盾WAF產品中見到「業務風控防護」這個選項的原因。這項功能解決的是企業的暴力登錄、撞庫、垃圾註冊、羊毛黨等一系列貼近業務層的安全問題。

阿里雲WAF的數據業務風控原理是利用了WAF作為代理介入客戶端瀏覽器與伺服器之間的角色：

1. 通過利用WAF上經過的返回頁面流量，在頁面注入相應的Js腳本；

2. Js腳本採集數據並hook用戶所有觸發提交操作的事件，將數據注入請求中；

3. 請求再次經過WAF時，能由WAF解析請求並提取相應風險識別數據提交風控大腦進行綜合決策判斷是阻斷用戶請求還是發起二次校驗挑戰。

如果檢測到訪客存在可疑，WAF就可能發起安全驗證，用戶需要經過驗證後方可繼續。而即便存在誤報現象由於驗證操作體驗較好，也不會給用戶帶來糟糕的體驗。

對不同的業務場景，阿里云云盾WAF也提供了不同的防控方案，包括註冊防控、登陸防控、活動防控、消息防控和其他風險防控等。

根據阿里雲的介紹，數據風控能夠防禦的欺詐行為包括：

垃圾註冊

簡訊驗證碼濫刷

撞庫、暴力破解

惡意搶購、秒殺、薅羊毛、搶紅包

機器人搶票、刷票、惡意投票

垃圾消息等

得益於WAF的特點，雲盾WAF的風控系統不需要修改網站代碼、調用API介面，所以使用過程其實也很方便。並且除了Web端網頁和移動端HTML5頁面，阿里雲還提供了針對Android/iOS平台的 SDK組件，只需在客戶端集成即可使用。

3. 發展前景

WAF類產品可能是當前針對Web應用採用最廣泛的安全產品了，Gartner在2015年的WAF魔力象限報告中預計全球WAF市場在大約4.2億美元左右——年增長率24%。Gartner預計到2020年，超過60%的公共Web應用都會由WAF來保護。

不過另一方面，去年針對WAF的質疑之聲也越來越多，包括2015年安全研究人員Mazin Ahmed公布的白皮書中演示了幾乎所有WAF供應商的XSS防護都能被繞過——是幾乎所有魔力象限上的WAF產品。去年High-Tech Bridge公布了一份針對ModSecurity WAF的研究，證明WAF完全可以用來緩解如此複雜的缺陷。但絕大部分供應商都沒能踐行ModSecurity甚至一半的技術能力。不過研究也同時提到ModSecurity OWASP CRS也可在默認設置下被繞過。

WAF本身顯然並不是萬能靈藥，仍舊需要與其他安全控制解決方案做結合，面對威脅要有更廣闊的大局觀。前文中提到的「威脅情報」正是阿里正在嘗試的方案之一。前文中提到的「威脅情報」正是阿里正在嘗試的方案之一。阿里云云盾負責人吳翰清曾這樣介紹過雲盾的威脅情報能力：

我們從各個緯度的sensor收取數據，包括網路、伺服器、資料庫，也包括四層和七層的數據，也包括操作日誌和系統日誌。因為今天雲盾是全鏈路部署的，既包括來自於全網的掃描器，也包括流量分析、應用層的數據分析，同時在伺服器還有Agent，所以我們能從不同的視角觀測到不同的現象。同時阿里雲還提供各個緯度的API，通過RAM授權後，我們可以調用雲計算本身提供的一些數據。把所有的這些數據整合在一起，做出綜合的診斷。

我們了解到，未來阿里云云盾也希望研發一個計算機系統代替安全專家們的人工工作，把評估結果、策略維護、響應等工作都交給機器完成。依託於阿里雲的大數據，這樣的方案是可行的，並且很有可能是將來的趨勢。而雲盾WAF也是威脅感知的一個重要環節。

另外根據Gartner的預測，到2020年底，超過70％的由Web應用程序防火牆（WAF）保護的Web應用程序

將使用基於雲服務或者虛擬設備的WAF，這一數字目前不到25%。

中小企業往往不願意或者沒有能力在安全上投入大量資金和精力，基於雲的WAF在安全產品中往往能夠發揮其部署簡單、反應迅速的優勢。不過我們也認為基於雲的WAF同樣適用於大型企業：大企業面對的安全威脅大而複雜，對網站的穩定性形成了挑戰，而淘寶天貓的例子即能夠證明。

我們認為，阿里云云盾WAF對於漏洞檢測做得相對完善，也能夠覆蓋常見的Web威脅和攻擊。在產品體驗上，阿里云云盾WAF也能做到快速部署，使用起來較為便捷，再加上特色項目：運用其智能語義檢測技術提升準確度，以及反欺詐的經驗，解決了企業的業務安全問題，也是其產品中的一大亮點。 這些都是阿里云云盾獲得WitAwards 2016「年度雲安全產品及服務」的原因。

* FreeBuf官方出品，本文作者：Sphinx & 歐陽洋蔥，未經許可禁止轉載