m o c . 5 http https h t i g b u Web WAF 关于报告 近年来，针对Web应用的攻击已成为企业面临的主要安全问题之一。网络安全攻击 有75%都是发生在Web应用层而非网络层面上，约2/3的Web站点都相当脆弱，易受 攻击。 而WAF（Web Application Firewall，即Web应用防火墙） ，是通过执行一系列针 对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 m o c . 5 国内企业的Web安全现状如何？使用WAF解决方案时有何困惑？期望后续的产品增 强哪方面的能力？ 《2020年国内WAF产品研究报告》通过现场走访、资料整合及问卷 调查的形式，对国内近百家企业的WAF使用情况进行对比分析，总结国内WAF产品 b u 的基本现状，并尝试对其发展趋势进行评估和预测，为企业安全建设提供有效参考。 关于FreeBuf咨询 h t i g FreeBuf.COM是斗象科技旗下国内领先的互联网安全新媒体，每日发布专业的安全 资讯、技术剖析，分享国内外安全资源与行业洞见，是深受安全从业者与爱好者关注 的网络安全网站与社区。 FreeBuf咨询集结了安全行业经验丰富的安全专家和分析师，常年对信息安全技术、 行业动态保持追踪，洞悉安全行业现状和趋势，呈现最专业的研究与咨询服务。 编者 徐钟豪 鲍弘捷 施东奇 周雪静 姚媛 目 录 CATALOG 03 01 前言 P01 国内主流WAF产品名录 3.1 3.2 3.4 国内WAF产品现状分析 领先者 b u 3.3 02 产品名录 m o c . 5 h t i g 开拓者 优秀开源方案 P10-12 P13-17 P18-22 P23-24 04 附录 4.1 4.2 调查问卷 参考资料 P25 P25 第一章 前言 近年来，针对Web应用的攻击已成为企业面临的主要安全问题之一。 Gartner的数据显示，网络安全攻击有75%都是发生在Web应用层 而非网络层面上，约2/3的Web站点都相当脆弱，易受攻击。 而WAF（Web Application Firewall，即Web应用防火墙） ，是通过执行一系列 针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 通常来说，WAF承担了抵御常见Web攻击的作用，是大多数互联网公司Web防御体系中最重要的一环，像一名尽职的保安，作为第一道 防线守护业务的安全。 2020年，市面上提供WAF方案的厂商依然很多，WAF仍是大多数企业用户部署的必选项。 国内企业的Web安全现状如何？使用WAF解决方案时有何困惑？期望后续的产品增强哪方面的能力？本报告将通过现场走访、资料整合 及问卷调查的形式，对国内近百家企业的WAF使用情况进行对比分析，总结国内WAF产品的基本现状，并尝试对其发展趋势进行评估 和预测，为企业安全建设提供有效参考。 m o c . 5 第二章 国内 WAF 产品现状分析 2.1 部署WAF的必要性 b u 企业Web业务系统面临的安全问题主要有以下几个方面： h t i g 1、开发时期遗留问题 由于Web应用程序的编写人员，在编程的过程中没有考虑到安全的因素，使得黑客能够利用这些漏洞发起对网站的攻击，比如SQL注 入、跨站脚本攻击等。 2、Web中间件漏洞问题 Web系统包括底层的操作系统和Web业务常用的发布系统（如IIS、Apache） ，这些系统本身存在诸多的安全漏洞，利用好这些漏洞，可 以给入侵者可乘之机。 3、运维管理中的问题 业务系统中由于管理的问题也存在诸多安全隐患，如弱口令嗅探、备份文件泄露，.git文件泄露等等，导致黑客、病毒可以利用这些缺 陷对网站进行攻击。 FreeBuf企业安全系列之2020国内WAF产品研究报告 / 0 1 4、破坏手段多样问题 Web系统所处的环境的网络安全状况也影响着Web系统的安全，比如网络中存在的DDoS攻击，或者存在感染病毒木马的终端，给黑 客提供可利用的跳板等，这些内网自身的安全问题同样会影响到Web系统的稳定运行。 遭受Web攻击往往会导致页面被篡改、业务瘫痪、用户数据泄露等严重问题，对企业的经济利益及声誉造成重大损害。纵观近年来的 重大网络安全事件，也不难发现上到政府单位、跨国巨头，下到普通企业及个人用户，都可能遭遇网络攻击，且从以上案例来看，事后 处置的代价，无一例外都远远高于事前防护的成本： 2017年5月，全球爆发大规模勒索软件WannaCry攻击事件，超过30万台电脑受到攻击，波及包括英国、俄罗斯、中国、美国等在内的 150个国家，涉及能源、电力、交通、医疗、教育等多个重点行业领域； 2018年2月，韩国平昌冬奥会开幕式当天遭遇黑客攻击，此次攻击造成网络中断，广播系统和奥运会官网均无法正常运作，许多观众无 法打印开幕式门票，最终未能正常入场； m o c . 5 2018年3月，Facebook数据泄露，8700多万用户数据被贩卖。 数天后，Facebook股价大跌，市值蒸发360亿美元； 2019年2月，湖南某医院遭遇勒索攻击，导致大批患者滞留，无法正常就医； 2019年3月，委内瑞拉发生包括首都加拉加斯在内的18个州范围的电力中断，持续超过24小时，导致地铁无法运行和大规模的交通拥 b u 堵，加拉加斯机场、医院、移动网络等基础设施均受到极大影响； 2019年6月，美国《纽约时报》爆料称，美政府官员承认，早在2012年就已在俄罗斯电网中植入病毒程序，可随时发起网络攻击。 报道随 h t i g 即引发相关国家的高度关注和国际舆论的广泛猜测�� 政策法规层面，自2017年6月1日以来， 《中华人民共和国网络安全法》实施两年有余，其明确规定单位或个人建立、运营网站，有义务 保证网站运行正常，网络安全法中指出等级保护工作的核心内容包括关键信息基础设施的安全保护义务（第三十四条 运营者设置专 门机构和负责人、网络安全教育培训、容灾备份、应急预案和演练等）和敏感信息保护（第三十七条 境内收集产生的个人信息和重要数 据应当在境内存储。 确需向境外提供的，应进行安全评估）。 如果网站运营者重视不足，未使用合理的防护手段，一旦网站被入侵，可能造成业务瘫痪、数据泄露、散播出不良言论等恶性事件。如 果发生此类情况，相关单位、责任人需承担相应的法律责任，其执法行为已走向常态，执法案例比比皆是，将对企业的运行和声誉造成 极大的负面影响。 综上所述，无论是面临越来越严格的监管要求，还是应对日益严重的安全威胁，企业部署WAF作为Web安全防护手段不仅必要，且十 分紧迫。 FreeBuf企业安全系列之2020国内WAF产品研究报告 / 0 2 2.2 业务场景及功能 综合国内多款主流WAF产品介绍及实地考察研究，其使用场景主要有： d m o c . 5 1、精准访问控制 明确定义和限制信息系统用户能够对资源执行的访问操作，因此可以有效提供对信息资源的机密性和完整性保护。 2、Web漏洞攻击防护 b u 恶意访问者通过SQL注入、XSS、远程命令执行等手段，入侵网站数据库，窃取业务数据或其他敏感信息。 3、CC攻击防护 h t i g 网站被发起大量的恶意请求，长时间占用核心资源，导致网站业务响应缓慢或无法正常提供服务。 4、0day漏洞缓解 第三方框架或插件爆发0day漏洞时，需要通过下发虚拟补丁，第一时间防护由漏洞可能产生的攻击。 综合以上来看，一款合格的WAF通常应具备以下功能： 1、HTTP、HTTPS协议的解析和过滤，如协议不同版本的识别和解析、协议参数长度限制等； 2、各类Web攻击防护，如：SQL注入、XSS跨站、CSRF、网页后门等； 3、各类自动化攻击防护，如：暴力破解、撞库、批量注册、自动发贴等； 4、阻止其它常见威胁，如：爬虫、0day攻击、代码分析、嗅探、数据篡改、越权访问、敏感信息泄漏、应用层DDoS、远程恶意包含、盗链、 越权、扫描等； 5、其他管理与审计，如安全配置、日志分析、报表与统计功能等。 FreeBuf企业安全系列之2020国内WAF产品研究报告 / 0 3 2.3 国内企业WAF产品现状调查 通过对国内近百家大中型企业的调查走访，我们得以窥视国内企业WAF产品的部署及使用现状。 1、IT基础设施 企业的IT基础设施就像一个大舞台，舞台布置好了，演员们才可以在上面进行表演（信息化应用）。 目前主流的IT基础设施一般来说有 以下几种构建方式： 自建机房的占比最高，达到38.6%；其次有32.9%的企业将业务部署在公有云；部署在IDC机房的占比为25.7%；另外，还有2.8%的企业 的IT基础架构部署在混合云或私有云。 IT基础设施构建 38.6% 32.9% m o c . 5 36.7% b u 有 房 云 2.8% 私 混 公 合 司 云 或 ID C机 云 有 公 自 建 机 房 h t i g 2、边界防护设备部署情况 由于信息系统自身的复杂性、网络的广泛可接入性等因素，系统面临日益增多的安全威胁，安全问题日益突出。边界防护作为企业最 关键的网络安全防护手段之一在国内得到了非常广泛的应用，本报告的核心⸺WAF产品也是典型的边界防护设备。 下面就让我们来 看一下受访企业中都部署了哪些边界防护设备。 受访企业中，Web应用防火墙当仁不让地位居第一位，87.7%的受访者都部署了WAF产品；第二和第三位分别是入侵检测/防护及传统 硬件防火墙产品，占比分别为75.5%和61.2%。 FreeBuf企业安全系列之2020国内WAF产品研究报告 / 0 4 企业部署的边界防护设备 8 7.7 % 75.5% 61.2% 42.8 % 44.9% 34.7% 36.7% m o c . 5 2% b u 3、WAF的分类 h t i g WAF产品从部署形式上来说，大致可以分为硬件型、软件型、云WAF三个大类。 ① 硬件型 硬件型WAF以一个独立的硬件设备的形态存在，支持以多种方式（如透明桥接模式、旁路模式、反向代理等）部署到网络中为后端的 Web应用提供安全防护，是最为传统的WAF型态，在受访企业中部署占比为35.2%。相对于软件产品类的WAF，这类产品的优点是性 能好、功能全面、支持多种模式部署等，但它的价格通常比较贵。 国内的绿盟、安恒、启明星辰等老牌厂商旗下的WAF都属于此类。 ② 软件型 这种类型的WAF采用纯软件的方式实现，特点是安装简单，容易使用，成本低。但它的缺点也是显而易见