Web应用安全 ——攻防对抗发展趋势（二）

云WAF发展的新道路

诚然，曾经的云WAF也有被人诟病之处，比如说攻击者可以绕过WAF直接访问源站地址进行定向攻击；业务误漏报后、不能很好的支持网站的规则自定义；数据的隐私泄露，HTTPS业务下私钥的安全性等。但经过这几年技术的发展，这些都变成了历史，不再是云WAF的弱点、取而代之的是下面的变革：

合规。积极的完成PCI-DSS认证需求，满足企业对数据安全性的要求。针对数据库的注入抓取等非授权行为做到安全防护，避免数据泄露。针对企业对HTTPS业务下的私钥安全顾虑，推出Keysafe方案，无需上传私钥，同时支持对加密流量的安全防护。

严密。针对以往的指定源站IP进行定向攻击绕过、一方面可在源站服务器上做安全准入控制、只允许云WAF的IP访问，其余定向的访问一律禁止；另一方面将站点流量全部置身于云WAF的防护中、实现网站的隐身，避免真实地址的暴露。

省心。充分利用云计算的大数据优势、建立起网站的正常模型。能够清晰的梳理出网站的正常业务请求模型、让0day漏洞无从绕过，正常的业务请求不被误阻断。网站接入初期开启预警模式、保障线上业务的正常运行、在最短时间内让网站维护者清晰的清楚业务误漏报概况。

全面。高性能SSL支持，数据链路加密。防护能力更多的覆盖到如撞库、接口滥用、业务欺诈、风控识别等业务场景中。

贴心。针对站点、URL等定制各种精细化的防护策略；提供友好可自定义的出错、拦截页面；给予网站用户最好的使用体验。一切皆可定制，打造成你自己想要的那一个。

对于数据隐私要求性非常高的金融行业，WAF是必备的防护利器。阿里云WAF(https://www.aliyun.com/product/waf)除了支持云内客户的网站安全防护，也支持云外客户的安全需求，通过DNS切换轻松一键接入。除此之外、阿里云安全为金融行业还可以提供各类安全服务（如白盒测试、黑盒测试、渗透测试、移动应用测试等），全力为客户打造安全的解决方案。