从零开讲企业怎么选WAF – 作者:w2sfoot-安全小百科

*本文原创作者：w2sfoot，本文属于FreeBuf原创奖励计划，未经许可禁止转载

温馨提示：全文约6600字，阅读需要10分钟。

内容涵盖：WAF使用的必要性、WAF的功能介绍、如何先购WAF、如何部署和使用WAF。

一、什么是WAF？

WAF，即：Web Application FireWall（Web应用防火墙）。可以通俗的理解为：用于保护网站，防黑客、防网络攻击的安全防护系统；是最有效、最直接的Web安全防护产品。

也可以这么模糊的认为：防护网站安全的产品，都可统称为WAF。

二、WAF的功能。

以能应对现代化攻击为目标，一款合格且优秀的WAF通常应具备以下功能：

（1）防止常见的各类网络攻击，如：SQL注入、XSS跨站、CSRF、网页后门等；

（2）防止各类自动化攻击，如：暴力破解、撞库、批量注册、自动发贴等；

（3）阻止其它常见威胁，如：爬虫、0 DAY攻击、代码分析、嗅探、数据篡改、越权访问、敏感信息泄漏、应用层DDOS、远程恶意包含、盗链、越权、扫描等。

三、需要使用WAF吗？

从两个方面，来探讨是否有需要、有必要使用WAF。

1.政策、法律层面

根据《中华人民共和国网络安全法》之规定，单位或个人建立、运营网站，则有义务保证网站运行正常。

如果被网站攻击、被入侵，散播出不良言论、带来不良影响、或网站以不良形像示人。那么可能会给国家、社会或他人，带来不良影响。如果发生此种情况，相关单位、责任人需承担相应的法律责任。

附安全法相关条文：

第六章法律责任

第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告;拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

重点是第21、25、33、34、36、38条：

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。

第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

第三十四条 除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：(一)设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案，并定期进行演练;(五)法律、行政法规规定的其他义务。

第三十六条 关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

再来看安全法中所提及的网络安全等级保护制度（俗称：等保，全称为：《信息安全技术网络安全等级保护基本要求》）中所具体对网站涉及到安全时设定的等级解释：

小总一下，根据安全法和等保结合判断：

根据第21条规定，网络运营者应当按照网络安全等级保护制度的要求，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

如果出了网络安全事故，后果有三个：

a.不履行等保制度：责令改正+警告；

b.不改正/危害网络安全：10-100万元罚款；

c.主体负责人：1-10万元罚款。

根据第22条规定，网络产品、服务的提供者不得设置恶意程序，并应当为其产品、服务持续提供安全维护；网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规。

如果提供网络产品时违反以上规定（通常来说，如果网站被入侵，则直接可能产生这个非主观的结果），后果有四个：

a.危害网络安全：5-50万元罚款；

b.主体负责人：1-10万元罚款；

c.非法收集信息：违法所得1-10倍罚款；

d.情节严重者：停业整顿或吊销营业执照。

做个简单的比喻来说明：

企业是老板张三的，员工李四负责网站。如果网站未做安全防护或未达到标准，政府通知整改而未执行，或网站被攻击直接发生了网络安全事故。那么，企业可能被罚款100万元，如果情节严重，公司会被直接关门、员工李四可能会被罚款10万元。

惩处制度是否是危言耸听？非也！在网络上，这类网络安全事件新闻也不并新鲜，比如：

综上所述，如果网站未重视安全，未使用安全防护手段，一旦网站被入侵，法律层面的后果就已经很严重，这还未考虑真实威胁、网站被攻击的直接后果。所以单从安全合规方面的需求而言，使用WAF防护网站安全已经是必要的。

2.真实威胁

2018年达沃斯论坛发布的《全球风险报告》中显示，网络攻击问题已经成为全球仅次于极端天气和自然灾害之外全球性的第三大威胁。网络攻击犯罪令世界经济每年损失5000亿美元！

这是权威的报告，可性度颇高。不要觉的它离我们很远，如此巨大损失总量，也是由一家家企业、一次次网络安全事件带来的个体损失量叠加起来的。且看2018年部分相关新闻：

2018年2月，知名代码托管网站GitHub遭遇史上大规模DDoS攻击，流量峰值高达1.35 Tbps，网站访问一度中断。

2018年3月，某比特币平台遭遇黑客攻击，至少被卷走7亿人民币。被攻击方发布全球通缉令，以25万美元的等值赏金追缉黑客。

2018年3月，Facebook数据泄露，8700多万用户数据被贩卖。数天后，Facebook股价大跌，市值蒸发360亿美元。

2018年3月，卡巴斯基实验室称：中国一家航空航天军事企业被美、俄两国黑客攻击，侵入服务器并且留下了后门工具。

2018年7月，顺丰快递被攻击，3亿条用户隐私信息被盗取。

2018年8月，华住酒店集团被攻击，5亿条旗下酒店用户信息被贩卖。涉及酒店范围包括汉庭、美爵、禧玥、全季等。

再结合本文前面的几个例子，可以得出：黑客攻击、网络入侵几乎是无差别的，上到跨国巨头、国内外大企业，小到县政府、水务集团，都可能会被攻击。

经营网站而未做安防，实际上是一直在违法而没有被惩罚到而已；只是侥幸还未被攻击而已。

能一直侥幸下去吗？如果等到网络安全事发，后果，是自己可以能够承受的吗？或者，是自己愿意承受的吗？

2019年的两会，网络安全议题被抬到了前所未有的高度，国家层面已经发声：没有网络安全，就没有国家安全！

安全，包括安全网络，具体到网站安全，从来都是需要未雨绸缪的。

这里再加一段旧新闻，一段真实历史：

2008年8月俄罗斯向格鲁吉亚发动战争之前，首先发动了网络战，这是全球首次有组织的、以国家层面对另一国发动的网络战，在这次网络战争中，格鲁吉亚政府、金融、教育、企业等行业网站几乎尽数被攻击，全国网络被隔绝与互联网之外、无法通过网络与外界联系，全国银行系统瘫痪10天！

这是网络安全的份量！这是网站安全防护不到位、被攻击的后果！

随着近期等保2.0的落地，各行业中，都下发了网络安全建设、整改要求。

比如银行业下发的146号文，有近约180项的安全建设细节。

四、如何选购WAF？

网络安全建设，购置、部署WAF，确实是需要成本的。在这里，谈钱不俗，而是现实。

确定了需要WAF对网站进行防护之后，首先做预算：要买一款多少价位的WAF？

WAF的价位差异很大，从几万，到几十万、几百万。

或许有人会有不同的考虑：当然首先是要满足功能了，满足功能的情况下，再考虑价格。但很遗憾：这个想法不太对，或者说，是外行人的想法。在选购WAF方面，不一定是价高就一定好、一定功能强，有时候甚至可能相反。

这得从时代、发展的角度来解释：互联网的发展实在是太快，具体到网络安全领域，黑客攻击入侵的手段也在快速发展。

20年前，Web安全最大的威胁是病毒；

15年前，最可怕的攻击是0Day、DDOS，

10年前，最多的攻击是网站漏洞、SQL注入；

现在，绝大多数攻击的是自动化攻击（撞库、批量发贴），有报告称，2018年网络攻击中，超过80%为自动化攻击。

时代的因素，造就了不同侧重的WAF产品，越是传统老牌的WAF，防护功能可能越陈旧。

举个最直观的小例子：传统WAF，包括很知名、很大牌的，比如绿盟、启明的WAF，基本都是通过规则匹配的方式进行防护的，规则匹配的方式，在应对自动化攻击方面，颇为被动，容易误报、容易防护不到。不得已，许多已部署WAF的用户，为了应对自动化攻击威胁，还得另外部署风控系统。

站在老品牌、大品牌厂家的角度：产品功能已定型多年，已有大量客户，着实不敢轻易改动功能，一处修改、升级，是否会出BUG，需要大量测试；可能会影响多少客户稳定运行不得而知（不同客户环境中，配置各有不同）。因为这些的制约，产品实际更新会比较少、功能会相对老旧。但老品牌、大品牌也有它的优势，比如：产品迭代多年，形态稳定、功能完善、Bug少、品牌效应好等等。

而面市较晚的新产品，相对传统WAF，可以称为创新WAF。这个创新，主要是功能上的，防护能力紧跟时代、更贴近实用。

比如：瑞数，主打动态防御，重点针对自动化攻击进行防护，目标客户为中大型企业。

比如：ShareWAF，主推双端防护、主动防御，同样是重点抵御自动化攻击，目标客户为中小型政企。

但这些创新类产品同样也有不足之处，比如：经历市场检验时长不及老牌产品、产品售后相较不及大厂等等。

老品牌、大品牌的知名度，品牌效应已经铸就，因此在价格上，通常会较高。

比如：

（注：这只是政府采购价，实际价格可能比这高很多:P）

以上的WAF价格，产品形态可能为软件或软件，此外，还有云形态的WAF，经常价格也比较令人胆寒：

小结：

上面从功能和价格，介绍了老牌WAF和创新WAF的优劣。

总体说来，国内大约有80家网络安全产品企业，国内的新老WAF数量约有四五十款，但凡能在市场生存，其功能总归是各有可取之处，说白了也就是：都可选择，重点的要根据自己实际需求和自身条件而定。比如：小企业，年盈利200万，如果部署WAF就要花去100万，显然是不现实的。再比如：政府部门，财政预算只有10万，显然没法买20万的WAF。

具体操作而言，建议是：先明确预算；再根据预算去找WAF厂家询价（走招标流程的另说），筛选在自己购买力范围内的WAF；最后，试用产品，选定自己满意的一款。

试用不要选择的产品太多，因为测试WAF是为了货比三家，择优而选，而测试WAF是比较耗时的，短则一星期、长则一个月，才能了解一款WAF、完成部署试用流程。如果选择的产品太多，测试的时间成本太高，一般选择3-5款为佳。

声明：以价格为出发点的选购思路，是站在采购方的角度，以企业利益以优先、以正常操作为前题的方式，未考虑供需双方内幕交易、采购吃回扣等私下利益行为。

黑幕揭秘：WAF采购，很多时候是金额巨大的，几十万、上百万、几百万的采购金额是常见的。利益的驱使，使其中有很多黑幕。比如：大红包、大回扣、人为功能壁垒（假如要内定一款WAF，招标要求中会有特定的，只有某WAF才具备的功能，以此功能点排除其它竟标者）、阴阳合同（企业A要采购WAF，采购负责人B在外有一家公司C，C公司以低价购买WAF，再转卖给A，B从中赚取高额差价）。

五、WAF的使用与维护

部署WAF

使用WAF的第一步是部署。WAF部署总的一个思路是，让用户访问到达网站之前，先经过WAF，让WAF识别、拦截恶意访问、攻击。

WAF的部署模式有三种：反向代理、透明代理、旁路。常用的是反向、透明两种模式，因为旁路只有监听功能，不能对访问进行拦截、没有防护能力，因此使用的较少。

反向代理

反向代理模式下，将WAF部署在了服务器之前，用户访问时，不知道服务器的的具体存在，会直接访问到WAF，如果是恶意请求或攻击，访问会被直接拦截，正常的访问WAF才会向服务器转发请求。这是最常见的一种部署模式。

透明代理

通常只有硬件WAF才会部署为透明代理。透明代理模式下，用户访问时不知道WAF的存在，访问会直接指向真实服务器，但流量到达服务器之前，会隐性的被WAF过滤，只有正常的访问才会被放行到服务器，恶意的访问、攻击都会被拦截。

以上只是简单的原理性说明，实际情况下，很多时候网络结构会复杂很多。

具体将WAF部署在网络中的什么位置，需根据自己情况而定。

比如网站、服务器可能有多台，在服务器之前，是部署着另一台服务器，用Nginx做为路由转发的，那么接入软WAF之时，就会有三种选择：将WAF置于Nginx之前，部署在Nginx所在服务器；将WAF置于Nginx之后，同样部署在nginx服务器；将WAF部署在Nginx之后，但放在各网站服务器。

很多时候，被保护网站很重要、业务不可中断。这种需求之下，要求WAF的接入需要实现高可用、高稳定。为了达到这种目的，如果是部署软件WAF，则需采用LB/Nginx配置双机热备，如果一台WAF发生异常，可被直接跳过；如果部署硬件WAF，则需要硬件具备故障Bypass功能，无论断电、系统死机、WAF异常，都不影响正常业务。

无论双机热备或是硬件Bypass，最终目的都是：WAF万一故障，业务仍不中断。

部署，也会有一定的工作量，常常要根据自己的网络环境定制部署计划，常试不同的部署节点，最后选择一种最合理的部署方式。

使用和维护

WAF部署成功后，准备开始使用了。

使用之前，先需有一个配置、调试、测试的过程。

通常这是WAF厂家与采购方联动的，整个WAF采购、使用过程中，这是风险最大的一个环境，充满变数。

通常在这个环节，供需双方的决策层已经达成共识：需求基本满足，价格差不多合适、买的愿买、卖的愿卖。为什么说这时有风险呢？有以下几个情节：

（1）使用方的具体业务系统、功能，总是千差万别的，而WAF是标准化的产品，如果某一环节，WAF功能无法满足，该如何？采购还是弃用？

比如：Web API是个新生事物，老牌WAF没有对Web API进行防护的功能，怎么办！这个举例并非空想，而是实例，近日与某银行业务主管聊天时，对方称：业务上大量使用Web API了，而绿X的WAF，没有相应的防护功能，146号文的检查马上要执行，业务功能却还在裸奔，颇为苦恼。

这是个已采购WAF，使用中遇到的问题。如果是在接入测试期遇到这种情况，即：部分业务需求不能满足。采还是不采，是个问题。

（2）“阎王好见，小鬼难缠”，这是WAF厂家常抱怨的一句话。高层已经达成共识了，双方的产品、技术人员开始对接，部署产品。在这个环节，双方可能需要加班调试、测试功能。采购方的技术人员理论上就会不满，无端的多了许多工作，还得反反复复的听WAF厂家技术人员的调遣，情绪会比较差。一个不高兴，跟领导汇报：这东西不行！用不了！

有经验的WAF厂家，公关人员会通过吃饭、喝酒、K歌、发红包的方式拉拢对接人员，好过了这一关。

当然，这只是一个例子，说明可能遇到的实际问题，并不是讲所有的对接人员都不敬业，也有很多在这一环节对接比较顺畅的。

（3）真实的”风险”。

不可否认的是，部署初期，是需要对WAF进行调试配置的，对于传统WAF而言，这是大量设置、调整规则的时候。是比较复杂和繁琐的。如果规则配置不当，可能会出现误报，影响业务系统正常运作；可能会漏报，不能很好的起到防护作用。

通常，WAF厂家都会有已设定好的规则库，但因具体应用哪些，是调试出来的。

而规则库的量级经常会很大，比如几百条，甚至，成千上万条。比如可怕的ModSecurity规则库有近两万条规则！

当然，也不是所有的WAF都需要配规则，创新类的WAF一般都不再基于规则防护，因此是无规则的。虽然是简单了不少，但刚部署也还是有一个调试的过程的。

等调试、测试完成，部署就完成了，WAF就可以开始真正的保护网站安全运行。

WAF都有后台功能。从后台一般有两个重要功能点，一是修改配置，二是各种数据报表。

通常来说，WAF配置部署好后基本不需要修改配置，如果网站本身功能升级，根据相关情况可以做小的调整。如果网站有大的功能变动或新增功能，建设向WAF厂家咨询，让厂家售后协助改配。

报表功能是必备的，显示各种攻击数据，一般都有漂亮的图形化显示。还有就是个性化功能了，比如有的WAF集成了态势感知，都会有漂亮的动态展示效果。有的是平面的2D效果，有的是更科幻的3D展示效果。

2D效果，实时攻击详情：