全文字数：2985字，精读时间：5分钟

本文援引于报告《2020年中国云WAF产品与技术概览》，首发于头豹科技创新网（www.leadleo.com）。

头豹科技创新网内容覆盖全行业、深入垂直领域，行业报告每日更新；政策图录、数据工具助您轻松了解市场动态；智能关键词轻松搜索，直奔行业热点内容。

诚挚欢迎各界精英交流合作，头豹承接行业研究、市场调研、产业规划、企业研究、商业计划、战略规划等业务，您可发送邮件或来电咨询。

客服邮箱：CS@leadleo.com 咨询热线：400-072-5588

5G技术驱动下，云经济带动云安全市场扩容

5G规模化商用背景下，万物互联规模化兴起，云经济迅速发展，“云计算、物联网、大数据”推动网络安全向云安全升级，云安全产品线日趋完善。

2019年末至2020年初，受新型冠状病毒疫情影响，云经济相关云安全需求爆发，加速云安全产业发展。云安全服务是支持云经济可持续发展的关键因素，可在云厂商与用户之间建立可信通道，助力企业用户提升核心竞争力。

云WAF产品向高度可视化、精细化管理、高度集成方向发展

云WAF：WEB应用防火墙云模式实现网站安全防护，用户无需安装软件程序或部署硬件设备，云WAF利用DNS技术，通过移交域名解析权实现安全防护，用户请求发送至云端节点进行检测

（1）优势：云WAF部署简单，无需部署硬件设备和软件工具，可通过修改DNS实现网站在云WAF的防护部署；云WAF可快速实现对新漏洞的应对策略更新，防护及时；云WAF兼具CDN功能，在防护的同时提高网站访问效率；

（2）劣势：云WAF通过解析用户DNS到云节点实现防护，易遭受强制域名解析的WAF绕过攻击；云WAF技术实现涉及DNS解析、请求调度、流量过滤等环节，单个节点问题或导致网站访问异常，此外，数据保管存在泄露风险。

基于lua脚本的WAF安全策略存在多种实现方式

相对高复杂性的C扩展实现方式，lua脚本用于WAF实现门槛较低。从扩展效果角度分析，lua实现方式在电商、通信、金融等场景工作效率与拓展实现方式相当。现阶段，lua实现方式尚未充分开发，效率提升空间较大。

基于lua脚本的WAF实现方式具体包括三种：

（1）基于DSL翻译的lua：技术人员可通过自创小语言，翻译成lua以优化lua效率，并于后期形成正则表达式引擎。该实现方式自主定义程度高，性能远超其他类别WAF。

（2）基于lua解析JSON策略：WAF系统依托JSON描述的安全策略，对网络活动进行解析并执行拦截，并附加部分日志智能分析功能。

（3）基于lua解析正则策略：依托正则表达式解析WAF，采用文件分类策略，具体可以loveshellWAF为例。

云WAF绕过风险（云绕过模式）

WAF是网络安全七层防护体系下的第一道防线，随互联网流量被Web接口、应用垄断，业务与服务器耦合盲点易成为绕过 WAF 防护的突破口。

（1）架构层面WAF绕过：前置串联架构层面的WAF绕过多基于WAF与中间件、后端业务间的耦合缺漏而发生：

①切入点差异导致绕过：前置串联架构使用SSL套接字会话时，访问请求方控制协商加密算法，WAF与后端业务在算法支持方面或存在切入点差异，WAF对差异点覆盖不足或导致绕过问题；

②后端业务配置限制导致绕过：采用CNAME方式接入的WAF系统，其后端业务配置对访问源限制程度不同，域名解析对真实IP地址的定位、本地HOST修改或导致WAF绕过；

③WAF设备位置后移导致绕过：串联部署模式下，WAF设备位置后移至中间件，WAF与业务机器捆绑导致策略下发、管理复杂，业务种类繁杂情况下，业务链路侵入频率较高，WAF绕过几率增加。

（2）协议及中间件层面WAF绕过：企业网络架构受业务特性影响，WAF与业务适配存在盲点，导致前端WAF和后端业务中间件功能差异较大，业务变动易产生WAF绕过问题。

（3）系统、数据库层面WAF绕过：该层面为WAF策略对抗前线，绕过成功率存在较大差异。系统级WAF绕过多通过命令执行、LFI类漏洞发生，数据库级WAF绕过多通过Sql类漏洞发生，绕过行为利用系统和数据库特性、不常用函数特征实现。

中国云WAF产品及技术发展趋势：融合大数据技术形成日志分析闭环

融合大数据技术构建定制化检测逻辑、规则

商业云WAF体系可有效解决传统硬件WAF成本高（1G带宽防护需10万以上硬件设备配置）、部署更新效率不高的问题。但针对长业务线场景，云迁徙存在困难，云厂商及企业客户可依托大数据技术实现WAF防护的逻辑和规则定制化。大数据归纳能力可放大云端WAF所具备的检测信息全平台共享的特点。

大数据支持的全方位监督式机器学习

（1）闭环日志处理降低误报率：大数据在云WAF平台可集中应用于日志处理环节，通过监督式机器学习完成误报判断。全过程包括日志搜集、特征优化、参数优化、离线训练、分类器分类、误报漏报优化五个节点，构成完整闭环。客户自行依据分类器分类结果做误报率、漏报率统计计算，用于日志结果分类优化训练。

（2）大数据算法优化训练结果：大数据技术应用于WAF日志处理和统计的逻辑依据为：解析日志，计算特征值，根据统计学SVM算法完成分类，探查误报日志，最终输出至管理控制台进行人工确认，结果可作为样本再次训练分类器。

中国云WAF产品及技术发展趋势：神经网络模型训练应用深化

融合大数据技术构建定制化检测逻辑、规则

人工智能神经网络模型可实现对云WAF的重新定义，赋能云WAF完成对未知威胁检测、业务安全防护、黑客攻击追溯的高级智能分析。

（1）神经网络模型应用：云WAF将通过神经网络模型实时分析数据安全，丰富防御规则、IP信誉、电子邮件信誉等信息，并向全网安全节点下发。

（2）聚类分析实现攻击可视化：云WAF平台依托聚类分析模型实时捕捉0day漏洞，建立攻击源画像，实现攻击关联网络、攻击地点、攻击手法以及攻击活跃度等信息的可视化，转变传统单点、被动式防御结构。

（3）针对云安全场景的智能WAF：不同业务场景Web攻击行为各异，神经网络多维度模型通过特定场景海量正负样本数据实现模型训练、优化，提升云WAF检测速度、准确率和全面性。

中国云WAF产品及技术发展趋势：用户享有更高防护规则自主权

融合大数据技术构建定制化检测逻辑、规则

规则自主权开放理念下，云厂商通过可视化管理系统向用户下方规则自定义权利，提升具体业务场景Web结构与云环境的耦合度。

（1）业务场景差异激发安全事件：不同企业用户根据不同规范性编码构建Web框架及开发框架，企业用户或渗透多元业务场景（金融、消费、能源、通信等），不同场景业务形态Web架构存在较大差异，复杂业务场景下，单一策略WAF规则较为固定，用户自主权低，易造成误报、漏报等安全事件。

（2）云WAF下方规则定义自主权，提升安全赋能等级：安全解决方案供应商基于对客户业务的理解，构建可视化管理系统，达到对用户下放规则自主定义权的目标。用户基于安全供应商提供的专家策略，完成对专家经验规则的自定义（根据业务场景需求），最终实现防护效果最大化。

（3）规则开放提高云WAF使用灵活性：传统安全模式下，用户选择有限（严格防护、宽松防护等），规则集管理较为粗放，用户欠缺对不同防护模式、规则集防护力度的了解，云WAF防护模式下，用户可通过自由组合开放式规则集实现对自身业务的贴合，降低攻击误报率、漏报率，降低与云厂商的沟通成本，提高安全运营效率。

深度见解：差异化竞争时代，传统WAF厂商及云厂商寻求技术融合创新价值，WAF部署模式创新能力及全球市场渗透程度成为评价厂商能力的要点

全球WAF市场阵营划分较为明晰，具体可根据厂商在本土市场和境外市场的客户占有率以及WAF产品的综合表现（防御力、可视化水平、交互设计、售后技术支持、规则自定义水平等）进行分析。随客户业务上云成为主流趋势，WAF在云端的部署将成为远期评判WAF厂商业务能力的核心因素。

领导者集群：处于领导者地位的WAF厂商具体可以F5、Imperva及Akamai为例。Imperva基于在境内外市场的全面布局及其产品线完整度成为WAF市场突出领导者。F5在产品战略及市场占有率方面表现突出，其攻击检测和响应能力超出竞品水平。

挑战者集群：市场挑战者多为来自亚洲的传统安全厂商及云厂商。随客户企业业务上云步伐加快，云厂商结合自身在云原生技术、人工智能、大数据计算等领域的优势，快道超车布局云WAF细分领域。

防御者和保守者集群：保守者和防御者集群原生产品架构较为稳固，转型周期较长，境外客户拓展策略待完善。

t