◆何 軍

?

基于云計(jì)算的Web防御系統(tǒng)研究

◆何 軍1，2

（1.上?？萍季W(wǎng)絡(luò)通信有限公司 上海 200233；2.上海大數(shù)據(jù)試驗(yàn)場(chǎng)工程技術(shù)研究中心 上海 200233）

云安全是目前云計(jì)算面臨的最大痛點(diǎn)，云安全問題的解決決定著云計(jì)算的未來。云WAF已經(jīng)成為一種商業(yè)化得云安全SaaS服務(wù)，其具備完整的功能和優(yōu)秀的商業(yè)模式。云WAF提升了云技術(shù)的安全能力，其正處于快速變革期。本文對(duì)云WAF的技術(shù)原理及其演進(jìn)進(jìn)行了深入分析，并指明了未來的發(fā)展方向，

云安全；云WAF；云計(jì)算；WAF

0 引言

云計(jì)算[1]在近年得到極大普及，產(chǎn)業(yè)結(jié)構(gòu)日趨清晰，商業(yè)模式逐步成熟。云計(jì)算在CPU虛擬化、內(nèi)存虛擬化、存儲(chǔ)虛擬化方面逐步穩(wěn)定，目前安全虛擬化成為制約云計(jì)算爆發(fā)的主要障礙。

Web服務(wù)是目前云計(jì)算平臺(tái)上的主要企業(yè)應(yīng)用，云平臺(tái)上Web服務(wù)易受攻擊、訪問速度慢等問題影響企業(yè)向云平臺(tái)遷移的信心。Web防御系統(tǒng)（Web Application Fireall，WAF）[2]是企業(yè)級(jí)Web應(yīng)用的標(biāo)配，技術(shù)已經(jīng)進(jìn)入成熟期。WAF工作在OSI模型的應(yīng)用層，用于解決針對(duì)Web應(yīng)用的眾多網(wǎng)絡(luò)攻擊引發(fā)的安全問題。目前推出云WAF服務(wù)的國(guó)內(nèi)云計(jì)算廠商主要有阿里、百度等，用戶無需再采購(gòu)WAF硬件，直接在云計(jì)算廠商按需采購(gòu)云WAF服務(wù)即可。無需改變用戶網(wǎng)絡(luò)拓?fù)?，可以防御DDoS，SQL注入，跨站腳本[3]等攻擊模式。

云WAF是云廠商提供的安全服務(wù)之一，無需部署物理安全設(shè)備，無需改變網(wǎng)絡(luò)拓?fù)?，只需用戶配置DNS的CNAME或NS記錄，將流量先引導(dǎo)到云WAF即可，立即生效。云WAF一般同時(shí)具有DDoS，CDN功能，企業(yè)可按需使用，提升Web用戶體驗(yàn)。

云WAF是一種新型的云安全服務(wù)模式，它的出現(xiàn)改變了行業(yè)格局，它使各家安全廠商通過出售安全硬件給企業(yè)盈利的模式在新的安全業(yè)態(tài)下難有發(fā)展空間，轉(zhuǎn)而由云安全平臺(tái)集中采購(gòu)或自主研發(fā)，最終向企業(yè)以安全服務(wù)的方式提供云WAF服務(wù)。云WAF使用戶脫離了繁瑣的設(shè)備運(yùn)維、設(shè)備配置操作，由云安全平臺(tái)統(tǒng)一進(jìn)行云WAF設(shè)備的管理，用戶只要按需進(jìn)行最簡(jiǎn)配置。

1 什么是云WAF

云WAF的所有功能都是通過云服務(wù)商來提供，它通過與CDN相似的技術(shù)來實(shí)現(xiàn)，主要是通過更改DNS的配置，比如增加一條CNAME記錄，使Web流量先指向云WAF服務(wù)商，在云WAF上進(jìn)行了流量清洗后再將流量引回到Web應(yīng)用。云WAF是云平臺(tái)提供的一個(gè)SaaS云安全服務(wù)，其主要特點(diǎn)：

（1）安全SaaS服務(wù)化。免安裝、免部署、免運(yùn)維[4]，用戶只要按云WAF的基本要求配置DNS即可，無需配備運(yùn)維人員、無需手動(dòng)更新特征庫(kù)等。

（2）擴(kuò)展性強(qiáng)。云WAF具有很強(qiáng)的彈性，用戶可以隨意按需擴(kuò)展云WAF的規(guī)模便即刻生效。

（3）高可靠性。云WAF構(gòu)建與云平臺(tái)之上，重復(fù)利用了云平臺(tái)的高可靠性，如負(fù)載均衡、異地雙活、數(shù)據(jù)冗余、在線遷移等，其可靠性要大大高于傳統(tǒng)的安全硬件設(shè)備。

（4）規(guī)模效應(yīng)。云WAF利用規(guī)模效應(yīng)可提供廉價(jià)、高效的安全服務(wù)。按照硬件成本不斷下降的趨勢(shì)，云WAF的服務(wù)價(jià)格會(huì)不斷向下調(diào)整。

（5）功能整合性。因云WAF的實(shí)現(xiàn)原理與CDN、抗DDoS類似，故在云WAF中可以同時(shí)開通CDN，抗DDoS，流量統(tǒng)計(jì)等功能。

2 與物理WAF的對(duì)比

云WAF與物理WAF主要從如下幾個(gè)方面進(jìn)行比較：

（1）安裝模式。傳統(tǒng)物理WAF進(jìn)行安裝部署時(shí)需要重新進(jìn)行網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)，在安裝時(shí)需進(jìn)行網(wǎng)絡(luò)斷網(wǎng)，登入網(wǎng)絡(luò)設(shè)備進(jìn)行端口配置。而云WAF則只要在DNS中加入一條CNAME記錄，無需再配置安全策略。

（2）運(yùn)維模式。傳統(tǒng)物理WAF設(shè)備昂貴，體積龐大，企業(yè)得租用機(jī)房空間同時(shí)配備專職網(wǎng)絡(luò)工程師進(jìn)行日常維護(hù)和安全策略配置。云WAF免安裝、免部署、免配置，用戶只要按需使用云WAF提供的安全能力即可。

（3）附加能力CDN，抗DDoS。云WAF可提供傳統(tǒng)物理WAF不具備的CDN，抗DDoS能力，用戶可以按需在云WAF平臺(tái)配置使用，簡(jiǎn)化了Web應(yīng)用的部署流程。

3 云WAF的核心技術(shù)

云WAF系統(tǒng)構(gòu)建復(fù)雜，要建設(shè)一套高效的云WAF系統(tǒng)必須突破如下幾個(gè)核心技術(shù)：

（1）高并發(fā)[5].為眾多用戶提供云WAF服務(wù)，將面對(duì)超大規(guī)模的并發(fā)連接。云服務(wù)上必須解決高并發(fā)的問題，否則云WAF服務(wù)無從談起。目前主要通HAProxy等開源方案來實(shí)現(xiàn)負(fù)載均衡技術(shù)，負(fù)載均衡是解決高并發(fā)需求的一個(gè)成熟的解決方案。

（2）Cache技術(shù)。Cache技術(shù)是計(jì)算機(jī)系統(tǒng)的一個(gè)通用加速方案，比如CPU，網(wǎng)卡，硬盤等都可以看到Cache的身影。云WAF通過Redis，Memcache等開源方案實(shí)現(xiàn)對(duì)靜態(tài)資源（網(wǎng)頁(yè)、視頻、腳本）進(jìn)行緩存，提升Web服務(wù)器的響應(yīng)速度。

（3）網(wǎng)絡(luò)攻防經(jīng)驗(yàn)。要構(gòu)建一個(gè)穩(wěn)定的云WAF平臺(tái)，必須積累一定的Web攻防及Web加固經(jīng)驗(yàn)，及時(shí)監(jiān)控安全狀態(tài)，快速定位漏洞和病毒，針對(duì)漏洞和病毒建立完善的規(guī)則庫(kù)。

（4）DNS問題。因云WAF是通過設(shè)置DNS來實(shí)現(xiàn)流量牽引到云平臺(tái)，要防止直接通過IP地址訪問Web應(yīng)用。目前主要的使用方法是Web服務(wù)器配置禁止IP方式直接訪問。

4 云WAF系統(tǒng)架構(gòu)

云WAF的用戶只要對(duì)DNS增加一條CNAME記錄就可以實(shí)現(xiàn)預(yù)防和監(jiān)控基于Web的安全威脅，包括SQL注入，XSS，IP地址黑白名單及其他OWASP中的漏洞，還可實(shí)現(xiàn)CDN、抗DDoS、內(nèi)容過濾等功能。

（1）整體設(shè)計(jì)思路

針對(duì)目前Web服務(wù)面臨的威脅和出口帶寬的限制[6]，僅僅在出口部署安全設(shè)備起不到有效的保護(hù)作用.而鏈路上行的主干網(wǎng)絡(luò)節(jié)點(diǎn)擁有大帶寬，即可將防線拉到整個(gè)骨干網(wǎng)絡(luò)節(jié)點(diǎn)，形成一個(gè)分布式的云WAF防御系統(tǒng)，提升Web服務(wù)的安全性，避免Web服務(wù)承受網(wǎng)絡(luò)攻擊.同時(shí)實(shí)現(xiàn)CDN對(duì)Web服務(wù)進(jìn)行加速，提升用戶體驗(yàn)。

圖1 云服務(wù)運(yùn)營(yíng)商的安全體系架構(gòu)

（2）云WAF系統(tǒng)架構(gòu)

圖2 云WAF系統(tǒng)架構(gòu)圖

云WAF面對(duì)大規(guī)模并發(fā)訪問請(qǐng)求處理，故要求云WAF系統(tǒng)配備高性能CPU、配置大容量RAM、具備負(fù)載均衡能力等。在軟件架構(gòu)上需配備高可靠操作系統(tǒng)、高性能Web服務(wù)器。云WAF的數(shù)據(jù)流路徑：

（1）用戶通過配置DNS，添加一條CNAME或NS記錄，將DNS解析權(quán)力交給云WAF控制中心.DNS配置完成后用戶發(fā)起Web請(qǐng)求。

（2）云WAF控制中心返回云WAF引擎的IP地址給用戶。

（3）用戶的瀏覽器自動(dòng)訪問云WAF引擎，云WAF引擎根據(jù)配置的安全規(guī)則進(jìn)行安全清洗。

（4）云WAF引擎將清洗過后的Web請(qǐng)求，轉(zhuǎn)發(fā)給Web服務(wù)器。

（5）Web服務(wù)器響應(yīng)用戶請(qǐng)求。

Linux是成熟的開源操作系統(tǒng)，云WAF引擎可選Linux作為操作系統(tǒng)平臺(tái).HAProxy已經(jīng)過工業(yè)級(jí)驗(yàn)證，可作為負(fù)載均衡系統(tǒng)。Nginx為開源Web服務(wù)器，具備高并發(fā)、低內(nèi)存等功能，可作為反向代理服務(wù)器.Memcache，Redis具有高效的緩存功能，可配置為緩存服務(wù)器。

5 下一步發(fā)展方向

云WAF作為一項(xiàng)安全SaaS服務(wù)，處于新生階段，有諸多問題要進(jìn)行改進(jìn)和加強(qiáng)。云安全問題的解決是云計(jì)算行業(yè)是否能發(fā)展壯大的關(guān)鍵。國(guó)際國(guó)內(nèi)都通過國(guó)家政策強(qiáng)力支持云計(jì)算的發(fā)展，云WAF要借政策之便加快解決自身問題。云WAF目前面臨的最主要的威脅是繞過DNS域名解析，直接通過IP地址訪問的問題。針對(duì)這個(gè)問題目前主要的解決方案是Web服務(wù)器配置禁止IP方式訪問，但并沒有完全解決威脅。在下一步發(fā)展中要加強(qiáng)安全策略的研究，突破這一技術(shù)難點(diǎn)。Oday攻擊是云WAF面臨的另一個(gè)安全威脅，必須通過組建安全策略及安全算法團(tuán)隊(duì)實(shí)現(xiàn)事先預(yù)防Oday攻擊。總體來說云WAF改變了安全生態(tài)，升級(jí)了安全服務(wù)方式，減少了用戶的安全支出，獲得了高安全品質(zhì)。

[1]劉鵬.云計(jì)算[M].北京：電子科技出版社，2013．

[2]范紅，馮國(guó)登，吳亞非．信息安全風(fēng)險(xiǎn)評(píng)估方法與應(yīng)[M].北京：清華大學(xué)出版社，2006．

[3]張弘.軟件定義的新型網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)計(jì)研究[D].成都：電子科技大學(xué)，2013.

[4]池水明，周蘇杭.DDoS攻擊防御技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2012.

[5]龔向陽(yáng).一種面向多樣化網(wǎng)絡(luò)業(yè)務(wù)融合的SDN網(wǎng)絡(luò)架構(gòu)[J].北京：北郵，2013.

[6]雷萬云.信息安全保衛(wèi)戰(zhàn)[M].北京：清華大學(xué)出版社，2013．

上海大數(shù)據(jù)試驗(yàn)場(chǎng)工程技術(shù)研究中心課題（課題編號(hào)：16DZ2250200）。