【云安全最佳实践】Web应用安全神器——腾讯云WAF

引言

Web应用安全防护是Web网站应用建设的重要组成。

尤其现在的Web系统以数据密集型系统为主,对已知的Web安全攻击进行防护,并能够及时紧急漏洞是衡量系统是否安全可靠的重要指标。

Web已经经历了几十年的发展,出现了许多诸如XSS、CSRF、SQL注入等常见的攻击手段,也时常会有一些0day漏洞需要通过补丁紧急修复。如果将所有的的Web应用安全防护工作全部交给业务开发者,对业务开发者的挑战就非常大。

如果能有一站式的防护系统(中间层)能够对业务无侵入地抵御绝大部分攻击,对Web应用开发来说,绝对是福音。

什么是WAF

腾讯云 Web 应用防火墙(Web Application Firewall,WAF)是一款基于 AI 的一站式 Web 业务运营风险防护方案。通过 AI+规则双引擎识别恶意流量,保护网站安全,提高 Web 站点的安全性和可靠性。通过 BOT 行为分析,防御恶意访问行为,保护网站核心业务安全和数据安全。 Web 应用防火墙

简单的说就是:

WAF是以业务代码无侵入的方式对绝大多数一直的攻击进行防御,修复常见Web漏洞的解决方案。

WAF两种类型

腾讯云WAF有两种类型:

  • SaaS 型 WAF
  • 负载均衡型 WAF

两种类型在功能上差异不大,主要是接入方式的区别。

SaaS型WAF

SaaS型WAF的架构如下图所示,(图来自:腾讯云官网—Web应用防火墙)

其接入方式是,修改源域名的DNS接入,将源域名CNAME至WAF,WAF对流量进行清洗、过滤后在回源到业务站点。

负载均衡型WAF

SaaS型WAF的架构如下图所示,(图来自:腾讯云官网—Web应用防火墙)

其接入方式需要与腾讯云七层CLB联动,CLB会将流量导到WAF,进行清洗防护,相当于创造了一条旁路。

可以理解为腾讯云的CLB与WAF进行合作,针对WAF进行适配改造,将流量转发给WAF,可以根据WAF的过滤结果来判断流量的后续处理。

选择SaaS型还是负载均衡型

选择SaaS型还是负载均衡型的WAF,主要取决于业务本身的架构是什么样的。

如果业务本身已经使用了腾讯云的七层CLB,那么负载均衡型WAF的接入更灵活一些、更简单些,通常是比较好的选择。

如果业务没有计划使用腾讯云七层CLB,那么可能需要选择SaaS型WAF。

如何接入WAF

WAF的接入方式(包括如何验证)在腾讯云官方文档已经有比较详细的指引:

如果要接入SaaS型WAF:接入SaaS型WAF

如果要接入负载均衡型WAF: 接入负载均衡型WAF