【云安全最佳实践】Web应用安全神器——腾讯云WAF

引言

Web应用安全防护是Web网站应用建设的重要组成。

尤其现在的Web系统以数据密集型系统为主，对已知的Web安全攻击进行防护，并能够及时紧急漏洞是衡量系统是否安全可靠的重要指标。

Web已经经历了几十年的发展，出现了许多诸如XSS、CSRF、SQL注入等常见的攻击手段，也时常会有一些0day漏洞需要通过补丁紧急修复。如果将所有的的Web应用安全防护工作全部交给业务开发者，对业务开发者的挑战就非常大。

如果能有一站式的防护系统（中间层）能够对业务无侵入地抵御绝大部分攻击，对Web应用开发来说，绝对是福音。

什么是WAF

腾讯云 Web 应用防火墙（Web Application Firewall，WAF）是一款基于 AI 的一站式 Web 业务运营风险防护方案。通过 AI+规则双引擎识别恶意流量，保护网站安全，提高 Web 站点的安全性和可靠性。通过 BOT 行为分析，防御恶意访问行为，保护网站核心业务安全和数据安全。 Web 应用防火墙

简单的说就是：

WAF是以业务代码无侵入的方式对绝大多数一直的攻击进行防御，修复常见Web漏洞的解决方案。

WAF两种类型

腾讯云WAF有两种类型：

• SaaS 型 WAF
• 负载均衡型 WAF

两种类型在功能上差异不大，主要是接入方式的区别。

SaaS型WAF

SaaS型WAF的架构如下图所示，（图来自：腾讯云官网—Web应用防火墙）

其接入方式是，修改源域名的DNS接入，将源域名CNAME至WAF，WAF对流量进行清洗、过滤后在回源到业务站点。

负载均衡型WAF

SaaS型WAF的架构如下图所示，（图来自：腾讯云官网—Web应用防火墙）

其接入方式需要与腾讯云七层CLB联动，CLB会将流量导到WAF，进行清洗防护，相当于创造了一条旁路。

可以理解为腾讯云的CLB与WAF进行合作，针对WAF进行适配改造，将流量转发给WAF，可以根据WAF的过滤结果来判断流量的后续处理。

选择SaaS型还是负载均衡型

选择SaaS型还是负载均衡型的WAF，主要取决于业务本身的架构是什么样的。

如果业务本身已经使用了腾讯云的七层CLB，那么负载均衡型WAF的接入更灵活一些、更简单些，通常是比较好的选择。

如果业务没有计划使用腾讯云七层CLB，那么可能需要选择SaaS型WAF。

如何接入WAF

WAF的接入方式（包括如何验证）在腾讯云官方文档已经有比较详细的指引：

如果要接入SaaS型WAF：接入SaaS型WAF

如果要接入负载均衡型WAF： 接入负载均衡型WAF