隨著云計算產(chǎn)業(yè)的不斷成熟，越來越多的企業(yè)用戶選擇將業(yè)務(wù)系統(tǒng)遷移至云和虛擬化平臺中。但是，在關(guān)注云和虛擬化基礎(chǔ)設(shè)施安全的同時，防網(wǎng)頁篡改、防網(wǎng)頁掛馬等Web應(yīng)用安全防護也需要得到充分的重視。近期，WebRAY推出了可以部署于云和虛擬化環(huán)境的WAF產(chǎn)品，能夠防范黑客利用 Web 應(yīng)用天然缺陷對業(yè)務(wù)進行惡意攻擊，并及時發(fā)現(xiàn)傳統(tǒng)防火墻不能檢查出的 Web 安全問題。

[[180058]]

Web應(yīng)用安全問題威脅云端Web服務(wù)

由于云服務(wù)具備敏捷、低成本等優(yōu)勢，很多企業(yè)用戶都選擇將Web服務(wù)轉(zhuǎn)移到云端。然而，Web應(yīng)用安全問題卻并不會隨著云化進程而自然化解，即使企業(yè)用戶通過云本身的安全防護功能解決了病毒感染、APT攻擊等網(wǎng)絡(luò)層面的安全問題，但頁面篡改、CC攻擊、信息泄露、后門控制、信息泄露、跨站腳本等應(yīng)用安全風險依然威脅著Web服務(wù)的完整性以及合規(guī)性。

特別是近兩年，國家顯著強化了對于Web服務(wù)的監(jiān)管力度，要求Web服務(wù)提供商確保Web內(nèi)容的安全性、合規(guī)性，避免出現(xiàn)色情、暴力等非法信息，或是被不法分子篡改網(wǎng)頁內(nèi)容，否則將可能導致網(wǎng)站面臨關(guān)停等風險。為了規(guī)避相關(guān)風險，部署Web應(yīng)用安全防護產(chǎn)品顯然是最好的應(yīng)對之道，而傳統(tǒng)的Web應(yīng)用安全防護產(chǎn)品并不能有效適配云與虛擬化環(huán)境，所以用戶亟需能夠完美適配云與虛擬化環(huán)境的Web應(yīng)用安全防護產(chǎn)品。

在此背景下，云或虛擬化WAF應(yīng)運而生，其在適配云和虛擬化環(huán)境的同時，可以為云用戶提供Web應(yīng)用安全防護功能。權(quán)威咨詢機構(gòu) Gartner 預(yù)測，到2020年年底，60%以上受WAF保護的公有Web應(yīng)用，將采用云WAF或虛擬化WAF交付方案。那么，Web服務(wù)提供商又該如何選擇云或虛擬化WAF產(chǎn)品呢?

云WAF OR虛擬化WAF 按需選擇是最佳解決之道

目前，可以適配云環(huán)境的WAF產(chǎn)品可以分為云WAF及虛擬化WAF。其中，云WAF通過改變DNS解析，將訪問Web應(yīng)用服務(wù)器的域名解析權(quán)移交到云端節(jié)點，以過濾非法的網(wǎng)絡(luò)需求。而虛擬化WAF則是將傳統(tǒng)硬件WAF的功能適配虛擬化環(huán)境，采用傳統(tǒng)的代理技術(shù)，以確保虛擬Web應(yīng)用服務(wù)器的安全，防范Web語義解析，防止跨站、注入等Web攻擊行為。

WebRAY產(chǎn)品經(jīng)理徐景育表示：“這兩種WAF產(chǎn)品并沒有絕對的優(yōu)劣之分，對于強調(diào)業(yè)務(wù)敏捷性與快速交付，降低運維成本的Web用戶來說，選擇云WAF產(chǎn)品能夠提供其所需的彈性、可擴展以及按需的防護;而對于有較多的定制化Web安全防護需求，希望對Web應(yīng)用進行嚴格控制與審計的用戶來說，選擇虛擬化WAF則能夠提供與基于物理環(huán)境的WAF產(chǎn)品基本無異的Web應(yīng)用安全防護服務(wù)。

面向云與虛擬化環(huán)境，WebRAY推出了銳御RayWAF，其以虛擬化鏡像方式提供，完全兼容VM、KVM、XEN等多種虛擬化平臺，可以為虛擬機配置與底層硬件上存在的物理組件完全不同的虛擬組件。其不僅能用于保護面向互聯(lián)網(wǎng)的Web 應(yīng)用，還可以被部署在內(nèi)部 Web 應(yīng)用服務(wù)器之前，對內(nèi)部 Web 服務(wù)器的惡意訪問行為進行訪問控制和業(yè)務(wù)審計，防范來自內(nèi)部的威脅。

目前，銳御RayWAF已經(jīng)在QingCloud中成功上線，為云租戶提供可以信賴的Web應(yīng)用安全服務(wù)。未來，銳御RayWAF還計劃登錄阿里云、華為云等公有云平臺，并通過與中國聯(lián)通、中國電信等私有云廠商的合作，保護云用戶重要信息系統(tǒng)不受 Web 應(yīng)用攻擊的影響。