Web应用安全 ——攻防对抗发展趋势（一）

Web应用安全现状

• 超过半数的网站Web应用数据遭受泄露、造成重大财务损失
• 企业网站安全事件频发、遭黑客勒索与竞争对手恶意攻击
• 越来越多的网站开始将业务接入到云计算服务中、充分利用云的计算优势和便利
• 网站的管理者都开始关注网站安全，会使用安全产品进行防护

企业面临的挑战

• 每天曝光的Web漏洞、危害性大、影响面广，如何保持实时的更新？
• 不断的收到大量的安全告警日志、但不知如何下手？
• 被第三方漏洞平台曝光网站安全隐患，防不胜防？
• 海量肉鸡攻击下网站的页面显示很慢甚至无法打开、无能为力？
• 攻击从传统Web攻击跨越到业务场景、如撞库、抓取数据、短信接口滥用等，束手无策？

解决方案

WAF(Web应用防火墙)作为一款成熟的网站防护产品、已成为企业为Web应用提供安全防护的必备利器。它能够抵御定向的Web技术攻击、部分业务逻辑攻击以及海量肉鸡的恶意访问。通过对Web应用的深入解析和检测， 能够阻拦SQL注入、跨站脚本攻击，阻止恶意扫描等常见Web攻击并提供修补漏洞的能力。

云安全下的新特性

WAF作为一款传统的安全防护产品，已经发展多年。但近年来，随着云计算市场的火热，WAF有了一种新的接入方式：云部署。通过简单的DNS记录变更，将流量引入到云端防护集群，经过安全防护检测后，将安全流量回源到服务器。相比于传统的防护手段，它有如下特点：

• 产品+数据+运营 三位一体综合、实现最佳防护效果。传统的安全防护模式仅是提供形形色色的产品。但绝不仅仅是买了个安全产品就搞定了一切。安全是需要不断的大数据分析模型、自适应的调整防护策略应对不断变化的安全趋势；需要不断的对产品进行精细化的运营。阿里云在数据和运营上有着先天的巨大优势，客户要做的，就是关于自身业务，安全交给我们。
• 零部署、零安装、五分钟接入、快速稳定。仅需简单的变更、无需繁琐的机房布线、机器上架等操作、即可快速享受安全防护。同时多集群部署保障业务稳定不受影响。
• 实时防护0day漏洞。云上安全专家实时监控、针对漏洞的防护规则云端瞬时下发、无需传统模式下的复杂升级流程。
• 防护能力自动扩展、与云上网站共享。云上用户包括淘宝、支付宝等生成的防护规则，百万级的恶意IP信誉库、恶意样本等，均自动覆盖到您的网站。
• 集群弹性扩容、轻松应对海量业务下的防护。传统的防护模式、很难满足业务突增(如秒杀促销活动)、海量肉鸡攻击的场景，而云计算时代下的弹性扩容及大数据学习能力、将这些不可能都变成了过去。
• 在业务上，结合反欺诈、风控、人机识别等相关技术，在不修改应用代码的情况下，完美的实现防撞库、防爬防抓、接口滥用等业务防护需求；在产品的结合上，无论是和CDN的联动打造安全的加速流量，还是和云解析的一键开通，无缝融合、满足用户业务的各种使用场景。