引言
Web应用安全防护是Web网站应用建设的重要组成。
尤其现在的Web系统以数据密集型系统为主,对已知的Web安全攻击进行防护,并能够及时紧急漏洞是衡量系统是否安全可靠的重要指标。
Web已经经历了几十年的发展,出现了许多诸如XSS、CSRF、SQL注入等常见的攻击手段,也时常会有一些0day漏洞需要通过补丁紧急修复。如果将所有的的Web应用安全防护工作全部交给业务开发者,对业务开发者的挑战就非常大。
如果能有一站式的防护系统(中间层)能够对业务无侵入地抵御绝大部分攻击,对Web应用开发来说,绝对是福音。
什么是WAF
腾讯云 Web 应用防火墙(Web Application Firewall,WAF)是一款基于 AI 的一站式 Web 业务运营风险防护方案。通过 AI 规则双引擎识别恶意流量,保护网站安全,提高 Web 站点的安全性和可靠性。通过 BOT 行为分析,防御恶意访问行为,保护网站核心业务安全和数据安全。 Web 应用防火墙
简单的说就是:
WAF是以业务代码无侵入的方式对绝大多数一直的攻击进行防御,修复常见Web漏洞的解决方案。
WAF两种类型
腾讯云WAF有两种类型:
- SaaS 型 WAF
- 负载均衡型 WAF
两种类型在功能上差异不大,主要是接入方式的区别。
SaaS型WAF
SaaS型WAF的架构如下图所示,(图来自:腾讯云官网—Web应用防火墙)
其接入方式是,修改源域名的DNS接入,将源域名CNAME至WAF,WAF对流量进行清洗、过滤后在回源到业务站点。
负载均衡型WAF
SaaS型WAF的架构如下图所示,(图来自:腾讯云官网—Web应用防火墙)
其接入方式需要与腾讯云七层CLB联动,CLB会将流量导到WAF,进行清洗防护,相当于创造了一条旁路。
可以理解为腾讯云的CLB与WAF进行合作,针对WAF进行适配改造,将流量转发给WAF,可以根据WAF的过滤结果来判断流量的后续处理。
选择SaaS型还是负载均衡型
选择SaaS型还是负载均衡型的WAF,主要取决于业务本身的架构是什么样的。
如果业务本身已经使用了腾讯云的七层CLB,那么负载均衡型WAF的接入更灵活一些、更简单些,通常是比较好的选择。
如果业务没有计划使用腾讯云七层CLB,那么可能需要选择SaaS型WAF。
如何接入WAF
WAF的接入方式(包括如何验证)在腾讯云官方文档已经有比较详细的指引:
如果要接入SaaS型WAF:接入SaaS型WAF
如果要接入负载均衡型WAF: 接入负载均衡型WAF