◆何 軍

?

基于云計算的Web防御系統(tǒng)研究

◆何 軍1，2

（1.上?？萍季W(wǎng)絡(luò)通信有限公司 上海 200233；2.上海大數(shù)據(jù)試驗場工程技術(shù)研究中心 上海 200233）

云安全是目前云計算面臨的最大痛點，云安全問題的解決決定著云計算的未來。云WAF已經(jīng)成為一種商業(yè)化得云安全SaaS服務(wù)，其具備完整的功能和優(yōu)秀的商業(yè)模式。云WAF提升了云技術(shù)的安全能力，其正處于快速變革期。本文對云WAF的技術(shù)原理及其演進進行了深入分析，并指明了未來的發(fā)展方向，

云安全；云WAF；云計算；WAF

0 引言

云計算[1]在近年得到極大普及，產(chǎn)業(yè)結(jié)構(gòu)日趨清晰，商業(yè)模式逐步成熟。云計算在CPU虛擬化、內(nèi)存虛擬化、存儲虛擬化方面逐步穩(wěn)定，目前安全虛擬化成為制約云計算爆發(fā)的主要障礙。

Web服務(wù)是目前云計算平臺上的主要企業(yè)應(yīng)用，云平臺上Web服務(wù)易受攻擊、訪問速度慢等問題影響企業(yè)向云平臺遷移的信心。Web防御系統(tǒng)（Web Application Fireall，WAF）[2]是企業(yè)級Web應(yīng)用的標配，技術(shù)已經(jīng)進入成熟期。WAF工作在OSI模型的應(yīng)用層，用于解決針對Web應(yīng)用的眾多網(wǎng)絡(luò)攻擊引發(fā)的安全問題。目前推出云WAF服務(wù)的國內(nèi)云計算廠商主要有阿里、百度等，用戶無需再采購WAF硬件，直接在云計算廠商按需采購云WAF服務(wù)即可。無需改變用戶網(wǎng)絡(luò)拓撲，可以防御DDoS，SQL注入，跨站腳本[3]等攻擊模式。

云WAF是云廠商提供的安全服務(wù)之一，無需部署物理安全設(shè)備，無需改變網(wǎng)絡(luò)拓撲，只需用戶配置DNS的CNAME或NS記錄，將流量先引導(dǎo)到云WAF即可，立即生效。云WAF一般同時具有DDoS，CDN功能，企業(yè)可按需使用，提升Web用戶體驗。

云WAF是一種新型的云安全服務(wù)模式，它的出現(xiàn)改變了行業(yè)格局，它使各家安全廠商通過出售安全硬件給企業(yè)盈利的模式在新的安全業(yè)態(tài)下難有發(fā)展空間，轉(zhuǎn)而由云安全平臺集中采購或自主研發(fā)，最終向企業(yè)以安全服務(wù)的方式提供云WAF服務(wù)。云WAF使用戶脫離了繁瑣的設(shè)備運維、設(shè)備配置操作，由云安全平臺統(tǒng)一進行云WAF設(shè)備的管理，用戶只要按需進行最簡配置。

1 什么是云WAF

云WAF的所有功能都是通過云服務(wù)商來提供，它通過與CDN相似的技術(shù)來實現(xiàn)，主要是通過更改DNS的配置，比如增加一條CNAME記錄，使Web流量先指向云WAF服務(wù)商，在云WAF上進行了流量清洗后再將流量引回到Web應(yīng)用。云WAF是云平臺提供的一個SaaS云安全服務(wù)，其主要特點：

（1）安全SaaS服務(wù)化。免安裝、免部署、免運維[4]，用戶只要按云WAF的基本要求配置DNS即可，無需配備運維人員、無需手動更新特征庫等。

（2）擴展性強。云WAF具有很強的彈性，用戶可以隨意按需擴展云WAF的規(guī)模便即刻生效。

（3）高可靠性。云WAF構(gòu)建與云平臺之上，重復(fù)利用了云平臺的高可靠性，如負載均衡、異地雙活、數(shù)據(jù)冗余、在線遷移等，其可靠性要大大高于傳統(tǒng)的安全硬件設(shè)備。

（4）規(guī)模效應(yīng)。云WAF利用規(guī)模效應(yīng)可提供廉價、高效的安全服務(wù)。按照硬件成本不斷下降的趨勢，云WAF的服務(wù)價格會不斷向下調(diào)整。

（5）功能整合性。因云WAF的實現(xiàn)原理與CDN、抗DDoS類似，故在云WAF中可以同時開通CDN，抗DDoS，流量統(tǒng)計等功能。

2 與物理WAF的對比

云WAF與物理WAF主要從如下幾個方面進行比較：

（1）安裝模式。傳統(tǒng)物理WAF進行安裝部署時需要重新進行網(wǎng)絡(luò)拓撲設(shè)計，在安裝時需進行網(wǎng)絡(luò)斷網(wǎng)，登入網(wǎng)絡(luò)設(shè)備進行端口配置。而云WAF則只要在DNS中加入一條CNAME記錄，無需再配置安全策略。

（2）運維模式。傳統(tǒng)物理WAF設(shè)備昂貴，體積龐大，企業(yè)得租用機房空間同時配備專職網(wǎng)絡(luò)工程師進行日常維護和安全策略配置。云WAF免安裝、免部署、免配置，用戶只要按需使用云WAF提供的安全能力即可。

（3）附加能力CDN，抗DDoS。云WAF可提供傳統(tǒng)物理WAF不具備的CDN，抗DDoS能力，用戶可以按需在云WAF平臺配置使用，簡化了Web應(yīng)用的部署流程。

3 云WAF的核心技術(shù)

云WAF系統(tǒng)構(gòu)建復(fù)雜，要建設(shè)一套高效的云WAF系統(tǒng)必須突破如下幾個核心技術(shù)：

（1）高并發(fā)[5].為眾多用戶提供云WAF服務(wù)，將面對超大規(guī)模的并發(fā)連接。云服務(wù)上必須解決高并發(fā)的問題，否則云WAF服務(wù)無從談起。目前主要通HAProxy等開源方案來實現(xiàn)負載均衡技術(shù)，負載均衡是解決高并發(fā)需求的一個成熟的解決方案。

（2）Cache技術(shù)。Cache技術(shù)是計算機系統(tǒng)的一個通用加速方案，比如CPU，網(wǎng)卡，硬盤等都可以看到Cache的身影。云WAF通過Redis，Memcache等開源方案實現(xiàn)對靜態(tài)資源（網(wǎng)頁、視頻、腳本）進行緩存，提升Web服務(wù)器的響應(yīng)速度。

（3）網(wǎng)絡(luò)攻防經(jīng)驗。要構(gòu)建一個穩(wěn)定的云WAF平臺，必須積累一定的Web攻防及Web加固經(jīng)驗，及時監(jiān)控安全狀態(tài)，快速定位漏洞和病毒，針對漏洞和病毒建立完善的規(guī)則庫。

（4）DNS問題。因云WAF是通過設(shè)置DNS來實現(xiàn)流量牽引到云平臺，要防止直接通過IP地址訪問Web應(yīng)用。目前主要的使用方法是Web服務(wù)器配置禁止IP方式直接訪問。

4 云WAF系統(tǒng)架構(gòu)

云WAF的用戶只要對DNS增加一條CNAME記錄就可以實現(xiàn)預(yù)防和監(jiān)控基于Web的安全威脅，包括SQL注入，XSS，IP地址黑白名單及其他OWASP中的漏洞，還可實現(xiàn)CDN、抗DDoS、內(nèi)容過濾等功能。

（1）整體設(shè)計思路

針對目前Web服務(wù)面臨的威脅和出口帶寬的限制[6]，僅僅在出口部署安全設(shè)備起不到有效的保護作用.而鏈路上行的主干網(wǎng)絡(luò)節(jié)點擁有大帶寬，即可將防線拉到整個骨干網(wǎng)絡(luò)節(jié)點，形成一個分布式的云WAF防御系統(tǒng)，提升Web服務(wù)的安全性，避免Web服務(wù)承受網(wǎng)絡(luò)攻擊.同時實現(xiàn)CDN對Web服務(wù)進行加速，提升用戶體驗。

圖1 云服務(wù)運營商的安全體系架構(gòu)

（2）云WAF系統(tǒng)架構(gòu)

圖2 云WAF系統(tǒng)架構(gòu)圖

云WAF面對大規(guī)模并發(fā)訪問請求處理，故要求云WAF系統(tǒng)配備高性能CPU、配置大容量RAM、具備負載均衡能力等。在軟件架構(gòu)上需配備高可靠操作系統(tǒng)、高性能Web服務(wù)器。云WAF的數(shù)據(jù)流路徑：

（1）用戶通過配置DNS，添加一條CNAME或NS記錄，將DNS解析權(quán)力交給云WAF控制中心.DNS配置完成后用戶發(fā)起Web請求。

（2）云WAF控制中心返回云WAF引擎的IP地址給用戶。

（3）用戶的瀏覽器自動訪問云WAF引擎，云WAF引擎根據(jù)配置的安全規(guī)則進行安全清洗。

（4）云WAF引擎將清洗過后的Web請求，轉(zhuǎn)發(fā)給Web服務(wù)器。

（5）Web服務(wù)器響應(yīng)用戶請求。

Linux是成熟的開源操作系統(tǒng)，云WAF引擎可選Linux作為操作系統(tǒng)平臺.HAProxy已經(jīng)過工業(yè)級驗證，可作為負載均衡系統(tǒng)。Nginx為開源Web服務(wù)器，具備高并發(fā)、低內(nèi)存等功能，可作為反向代理服務(wù)器.Memcache，Redis具有高效的緩存功能，可配置為緩存服務(wù)器。

5 下一步發(fā)展方向

云WAF作為一項安全SaaS服務(wù)，處于新生階段，有諸多問題要進行改進和加強。云安全問題的解決是云計算行業(yè)是否能發(fā)展壯大的關(guān)鍵。國際國內(nèi)都通過國家政策強力支持云計算的發(fā)展，云WAF要借政策之便加快解決自身問題。云WAF目前面臨的最主要的威脅是繞過DNS域名解析，直接通過IP地址訪問的問題。針對這個問題目前主要的解決方案是Web服務(wù)器配置禁止IP方式訪問，但并沒有完全解決威脅。在下一步發(fā)展中要加強安全策略的研究，突破這一技術(shù)難點。Oday攻擊是云WAF面臨的另一個安全威脅，必須通過組建安全策略及安全算法團隊實現(xiàn)事先預(yù)防Oday攻擊?？傮w來說云WAF改變了安全生態(tài)，升級了安全服務(wù)方式，減少了用戶的安全支出，獲得了高安全品質(zhì)。

[1]劉鵬.云計算[M].北京：電子科技出版社，2013．

[2]范紅，馮國登，吳亞非．信息安全風(fēng)險評估方法與應(yīng)[M].北京：清華大學(xué)出版社，2006．

[3]張弘.軟件定義的新型網(wǎng)絡(luò)節(jié)點設(shè)計研究[D].成都：電子科技大學(xué)，2013.

[4]池水明，周蘇杭.DDoS攻擊防御技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2012.

[5]龔向陽.一種面向多樣化網(wǎng)絡(luò)業(yè)務(wù)融合的SDN網(wǎng)絡(luò)架構(gòu)[J].北京：北郵，2013.

[6]雷萬云.信息安全保衛(wèi)戰(zhàn)[M].北京：清華大學(xué)出版社，2013．

上海大數(shù)據(jù)試驗場工程技術(shù)研究中心課題（課題編號：16DZ2250200）。