基于云計算的Web防御系統研究

◆何 軍

?

基于云計算的Web防御系統研究

◆何 軍1，2

（1.上海科技網絡通信有限公司 上海 200233；2.上海大數據試驗場工程技術研究中心 上海 200233）

云安全是目前云計算面臨的最大痛點，云安全問題的解決決定著云計算的未來。云WAF已經成為一種商業化得云安全SaaS服務，其具備完整的功能和優秀的商業模式。云WAF提升了云技術的安全能力，其正處于快速變革期。本文對云WAF的技術原理及其演進進行了深入分析，并指明了未來的發展方向，

云安全；云WAF；云計算；WAF

0 引言

云計算[1]在近年得到極大普及，產業結構日趨清晰，商業模式逐步成熟。云計算在CPU虛擬化、內存虛擬化、存儲虛擬化方面逐步穩定，目前安全虛擬化成為制約云計算爆發的主要障礙。

Web服務是目前云計算平臺上的主要企業應用，云平臺上Web服務易受攻擊、訪問速度慢等問題影響企業向云平臺遷移的信心。Web防御系統（Web Application Fireall，WAF）[2]是企業級Web應用的標配，技術已經進入成熟期。WAF工作在OSI模型的應用層，用于解決針對Web應用的眾多網絡攻擊引發的安全問題。目前推出云WAF服務的國內云計算廠商主要有阿里、百度等，用戶無需再采購WAF硬件，直接在云計算廠商按需采購云WAF服務即可。無需改變用戶網絡拓撲，可以防御DDoS，SQL注入，跨站腳本[3]等攻擊模式。

云WAF是云廠商提供的安全服務之一，無需部署物理安全設備，無需改變網絡拓撲，只需用戶配置DNS的CNAME或NS記錄，將流量先引導到云WAF即可，立即生效。云WAF一般同時具有DDoS，CDN功能，企業可按需使用，提升Web用戶體驗。

云WAF是一種新型的云安全服務模式，它的出現改變了行業格局，它使各家安全廠商通過出售安全硬件給企業盈利的模式在新的安全業態下難有發展空間，轉而由云安全平臺集中采購或自主研發，最終向企業以安全服務的方式提供云WAF服務。云WAF使用戶脫離了繁瑣的設備運維、設備配置操作，由云安全平臺統一進行云WAF設備的管理，用戶只要按需進行最簡配置。

1 什么是云WAF

云WAF的所有功能都是通過云服務商來提供，它通過與CDN相似的技術來實現，主要是通過更改DNS的配置，比如增加一條CNAME記錄，使Web流量先指向云WAF服務商，在云WAF上進行了流量清洗后再將流量引回到Web應用。云WAF是云平臺提供的一個SaaS云安全服務，其主要特點：

（1）安全SaaS服務化。免安裝、免部署、免運維[4]，用戶只要按云WAF的基本要求配置DNS即可，無需配備運維人員、無需手動更新特征庫等。

（2）擴展性強。云WAF具有很強的彈性，用戶可以隨意按需擴展云WAF的規模便即刻生效。

（3）高可靠性。云WAF構建與云平臺之上，重復利用了云平臺的高可靠性，如負載均衡、異地雙活、數據冗余、在線遷移等，其可靠性要大大高于傳統的安全硬件設備。

（4）規模效應。云WAF利用規模效應可提供廉價、高效的安全服務。按照硬件成本不斷下降的趨勢，云WAF的服務價格會不斷向下調整。

（5）功能整合性。因云WAF的實現原理與CDN、抗DDoS類似，故在云WAF中可以同時開通CDN，抗DDoS，流量統計等功能。

2 與物理WAF的對比

云WAF與物理WAF主要從如下幾個方面進行比較：

（1）安裝模式。傳統物理WAF進行安裝部署時需要重新進行網絡拓撲設計，在安裝時需進行網絡斷網，登入網絡設備進行端口配置。而云WAF則只要在DNS中加入一條CNAME記錄，無需再配置安全策略。

（2）運維模式。傳統物理WAF設備昂貴，體積龐大，企業得租用機房空間同時配備專職網絡工程師進行日常維護和安全策略配置。云WAF免安裝、免部署、免配置，用戶只要按需使用云WAF提供的安全能力即可。

（3）附加能力CDN，抗DDoS。云WAF可提供傳統物理WAF不具備的CDN，抗DDoS能力，用戶可以按需在云WAF平臺配置使用，簡化了Web應用的部署流程。

3 云WAF的核心技術

云WAF系統構建復雜，要建設一套高效的云WAF系統必須突破如下幾個核心技術：

（1）高并發[5].為眾多用戶提供云WAF服務，將面對超大規模的并發連接。云服務上必須解決高并發的問題，否則云WAF服務無從談起。目前主要通HAProxy等開源方案來實現負載均衡技術，負載均衡是解決高并發需求的一個成熟的解決方案。

（2）Cache技術。Cache技術是計算機系統的一個通用加速方案，比如CPU，網卡，硬盤等都可以看到Cache的身影。云WAF通過Redis，Memcache等開源方案實現對靜態資源（網頁、視頻、腳本）進行緩存，提升Web服務器的響應速度。

（3）網絡攻防經驗。要構建一個穩定的云WAF平臺，必須積累一定的Web攻防及Web加固經驗，及時監控安全狀態，快速定位漏洞和病毒，針對漏洞和病毒建立完善的規則庫。

（4）DNS問題。因云WAF是通過設置DNS來實現流量牽引到云平臺，要防止直接通過IP地址訪問Web應用。目前主要的使用方法是Web服務器配置禁止IP方式直接訪問。

4 云WAF系統架構

云WAF的用戶只要對DNS增加一條CNAME記錄就可以實現預防和監控基于Web的安全威脅，包括SQL注入，XSS，IP地址黑白名單及其他OWASP中的漏洞，還可實現CDN、抗DDoS、內容過濾等功能。

（1）整體設計思路

針對目前Web服務面臨的威脅和出口帶寬的限制[6]，僅僅在出口部署安全設備起不到有效的保護作用.而鏈路上行的主干網絡節點擁有大帶寬，即可將防線拉到整個骨干網絡節點，形成一個分布式的云WAF防御系統，提升Web服務的安全性，避免Web服務承受網絡攻擊.同時實現CDN對Web服務進行加速，提升用戶體驗。

圖1 云服務運營商的安全體系架構

（2）云WAF系統架構

圖2 云WAF系統架構圖

云WAF面對大規模并發訪問請求處理，故要求云WAF系統配備高性能CPU、配置大容量RAM、具備負載均衡能力等。在軟件架構上需配備高可靠操作系統、高性能Web服務器。云WAF的數據流路徑：

（1）用戶通過配置DNS，添加一條CNAME或NS記錄，將DNS解析權力交給云WAF控制中心.DNS配置完成后用戶發起Web請求。

（2）云WAF控制中心返回云WAF引擎的IP地址給用戶。

（3）用戶的瀏覽器自動訪問云WAF引擎，云WAF引擎根據配置的安全規則進行安全清洗。

（4）云WAF引擎將清洗過后的Web請求，轉發給Web服務器。

（5）Web服務器響應用戶請求。

Linux是成熟的開源操作系統，云WAF引擎可選Linux作為操作系統平臺.HAProxy已經過工業級驗證，可作為負載均衡系統。Nginx為開源Web服務器，具備高并發、低內存等功能，可作為反向代理服務器.Memcache，Redis具有高效的緩存功能，可配置為緩存服務器。

5 下一步發展方向

云WAF作為一項安全SaaS服務，處于新生階段，有諸多問題要進行改進和加強。云安全問題的解決是云計算行業是否能發展壯大的關鍵。國際國內都通過國家政策強力支持云計算的發展，云WAF要借政策之便加快解決自身問題。云WAF目前面臨的最主要的威脅是繞過DNS域名解析，直接通過IP地址訪問的問題。針對這個問題目前主要的解決方案是Web服務器配置禁止IP方式訪問，但并沒有完全解決威脅。在下一步發展中要加強安全策略的研究，突破這一技術難點。Oday攻擊是云WAF面臨的另一個安全威脅，必須通過組建安全策略及安全算法團隊實現事先預防Oday攻擊。總體來說云WAF改變了安全生態，升級了安全服務方式，減少了用戶的安全支出，獲得了高安全品質。

[1]劉鵬.云計算[M].北京：電子科技出版社，2013．

[2]范紅，馮國登，吳亞非．信息安全風險評估方法與應[M].北京：清華大學出版社，2006．

[3]張弘.軟件定義的新型網絡節點設計研究[D].成都：電子科技大學，2013.

[4]池水明，周蘇杭.DDoS攻擊防御技術研究[J].信息網絡安全，2012.

[5]龔向陽.一種面向多樣化網絡業務融合的SDN網絡架構[J].北京：北郵，2013.

[6]雷萬云.信息安全保衛戰[M].北京：清華大學出版社，2013．

上海大數據試驗場工程技術研究中心課題（課題編號：16DZ2250200）。