硬件Waf、軟件Waf、雲Waf優缺分分析。

一、什麼是Waf？
Waf的全拼爲：Web Application Firewall，顧名思義Waf是一款專針對Web應用***的防護產品。當Web應用越來越豐富的同時，大部分交互都轉移到了Web上，與此同時Web也成爲了主要的***目標，此時Waf就成爲了安全防護中的第一道防線，Waf在安全中的重要性不言而喻。

二、Waf形態分類
目前市面上的Waf的形態可以簡單分類爲三種，分別爲：

硬件Web防火牆
Web防護軟件
雲Waf

硬件Waf通常的安裝方式是將Waf串行（反向代理或透明代理）部署在Web服務器前端，用於檢測、阻斷異常流量。
常規硬件Waf的實現方式是通過代理技術代理來自外部的流量，並對請求包進行解析，通過安全規則庫的***規則進行匹配，如成功匹配規則庫中的規則，則識別爲異常並進行請求阻斷。

軟件Waf則是安裝在需要防護的服務器上，實現方式通常是Waf監聽端口或以Web容器擴展方式進行請求檢測和阻斷。

雲Waf是近年來隨着雲計算的推動衍生出來的新產品，雲WAF，也稱WEB應用防火牆的雲模式，這種模式讓用戶不需要在自己的網絡中安裝軟件程序或部署硬件設備，就可以對網站實施安全防護，它的主要實現方式是利用DNS技術，通過移交域名解析權來實現安全防護。用戶的請求首先發送到雲端節點進行檢測，如存在異常請求則進行攔截否則將請求轉發至真實服務器。

三、優缺點總結
面對不同形態的Waf，那麼作爲網站運營方，該如何選擇適合自己的Waf呢？不同形態的Waf各有各的長處，但也有各自的缺點。

硬件Waf之利（一）：部署簡易，即插即用
硬件Waf只需串聯到交換機上，進行簡單的配置後即可實現Web安全防護
硬件Waf之利（二）：可承受較高的吞吐量
由於硬件防火牆基於硬件設備實現，一般情況下可承受較高的數據吞吐量
硬件Waf之利（三）：防護範圍大
由於硬件防火牆直接串聯到了交換機，所以在同一個交換機下的所有服務器，都處於防火牆的防護範圍之類

說完了優點，我們來說說弊端。

硬件Waf之弊（一）：價格昂貴
目前安全行業中的硬件Waf，價格對於中小企業來說過於昂貴，動輒便是幾十萬甚至幾百萬
硬件Waf之弊（二）：存在一定誤殺
由於硬件Waf是通過***規則庫對異常流量進行識別，所以在業務系統複雜的情況下，可能存在一定誤殺導致正常功能被防火牆攔截導致影響正常業務
硬件Waf之弊（三）：存在一定繞過幾率
硬件防火牆對HTTP協議進行自行解析，可能存在與Web服務器對HTTP請求的理解不一致從而導致被繞過
以上客觀描述了硬件防火牆有優缺點，歡迎補充。

我們再來看看軟件Waf又有哪些優缺點。

軟件Waf之利（一）：開箱即用，廉價甚至免費
目前國內的軟件Waf，比如：ShareWAF(http://www.sharewaf.com/)就有軟件版，免費安裝後簡單配置即可使用。
軟件Waf之利（二）： 管理方便，界面友好
目前行業中的軟件Waf提供友好的查看、管理界面，使得即使是非技術人員也能通過軟件管理服務器的安安全狀態
軟件Waf之利（三）：功能豐富
使用軟件實現的Waf除了實現對Web應用的防護功能之外，還存在其他豐富的安全功能，如掃描惡意***文件、防篡改、服務器優化、備份等等功能，這些功能對於不瞭解網站技術的人來說提供了便捷

軟件Waf之弊（一）：誤殺&漏報特性
軟件Waf對HTTP協議實現了自解析，無法和容器背後的Web應用保持對協議的理解一致，在誤殺和漏報之間不能很好的平衡，解析太過細化又存在Waf可輕易被欺騙導致繞過的特點，防禦太過嚴謹又可能會導致影響正常業務運行
軟件Waf之弊（二）：佔用內存過多
由於軟件Waf要實現對每個請求的解析、識別，可能會存在佔用服務器內存過多的情況
軟件Waf之弊（三）：只適合中小型網站

由於軟件Waf需要單臺服務器部署，並且可能存在影響正常業務的風險和被繞過的風險，不適合大型的網絡的安全防護使用

那麼新產品，雲Waf又表現如何呢？

雲Waf之利（一）：部署簡單，維護成本低
這也是雲Waf最有價值和受用戶喜愛的一點，無需安裝任何軟件或者部署任何硬件設備，只需修改DNS即可將網站部署到雲Waf的防護範圍之內

雲Waf之利（二）：用戶無需更新
雲Waf的防護規則都處於雲端，新漏洞爆發時，由雲端負責規則的更新和維護，用戶無需擔心因爲疏忽導致受到新型的漏洞***

雲Waf之利（三）：可充當CDN
雲Waf在提供防護功能的同時，還同時具有CDN的功能，在進行防護的同時還可以提高網站訪問的速率，CDN通過跨運營商的多線智能解析調度將靜態資源動態負載到全國的雲節點，用戶訪問某個資源時會被引導至最近的雲端節點從而提高訪問速度

以上優點，讓部分用戶對雲Waf產生“鍾愛之情”但是從安全的專業角度，雲Waf同樣存在一些嚴重的問題。

雲Waf之弊（一）：存在輕易被繞過的風險
雲Waf的主要實現原理是通過將用戶的DNS解析到雲節點實現防護，這樣一來，如果***通過相關手段獲取了服務器的真實IP地址，然後強制解析域名，就可以輕鬆繞過雲Waf對服務器發起***

雲Waf之弊（二）：可靠性低
雲Waf處理一次請求，其中需要經過DNS解析、請求調度、流量過濾等環節，其中涉及協同關聯工作，其中只要有一個環節出現問題，就會導致網站無法訪問。必要時，只能手動切換爲原DNS來保證業務正常運行，而域名解析需要一定時間，則會導致網站短時間無法正常訪問

雲Waf之弊（三）：保密性低
網站訪問數據對於一些企業、機構來說爲保密數據，裏面可能包含用戶的隱私或者商業信息，這些數據自行管控會相對安全，但是如果使用Waf，所有的數據會記錄到雲端，這相當於數據被別人保管，可能存在一定的泄露風險

分析利弊後，我們發現雲Waf目前只適用於安全需求較低的中小型企業或者個人網站，對於安全需求較高的網站，如政府、金融、運營商等，雲Waf無法滿足相關要求，所以廣大網站管理者，需要根據自身實際情況來選擇合適的安全產品和服務。