隨著互聯(lián)網(wǎng)的發(fā)展，企業(yè)開始逐步將關(guān)鍵的業(yè)務(wù)功能遷移到了 Web 應(yīng)用，雖然遷移到 Web 應(yīng)用帶來了經(jīng)濟利益并提高了業(yè)務(wù)的靈活性，但同時也帶來了新的安全風(fēng)險和合規(guī)性方面的需求。

而近些年來，針對 Web 應(yīng)用的攻擊越來越多，新型的攻擊手段層出不窮，傳統(tǒng)的防火墻技術(shù)已經(jīng)無法針對這些 Web 應(yīng)用提供安全防護能力。在這種情況下，WAF 成為了抵御應(yīng)用層攻擊強有力的工具。

當(dāng)前越來越多應(yīng)用開始遷移到云端，應(yīng)用的形態(tài)也開始向微服務(wù)架構(gòu)進行轉(zhuǎn)變，采用傳統(tǒng)的 WAF 為這些應(yīng)用提供防護能力也變得越來越力不從心，它在面對復(fù)雜多變的 Web 應(yīng)用攻擊時，存在著明顯的不足。

傳統(tǒng)WAF解決方案的弊端

傳統(tǒng) WAF 策略配置管理復(fù)雜

傳統(tǒng) WAF 配置相當(dāng)復(fù)雜，每次配置 WAF 規(guī)則時需要多個步驟才能完成。當(dāng)應(yīng)用發(fā)生了變更，需要手工對 WAF 策略進行調(diào)整。同時，很難實現(xiàn)針對每應(yīng)用級別的 WAF 策略配置。

傳統(tǒng) WAF 無可視化和智能性

傳統(tǒng) WAF 解決方案缺少安全的可視性，當(dāng)應(yīng)用受到攻擊時，沒有一個可視化的界面讓安全管理員了解到更多的攻擊行為，也無法實現(xiàn)攻擊行為的統(tǒng)計。同時，傳統(tǒng) WAF 解決方案也缺少攻擊行為的建模和應(yīng)用的學(xué)習(xí)能力，無法對新的威脅做出響應(yīng)。

傳統(tǒng) WAF 存在性能瓶頸

傳統(tǒng) WAF 采用集中式部署并獨立進行管理，WAF 的性能通常情況下依賴于 CPU，性能存在瓶頸，當(dāng)負載均衡和 WAF 功能同時開啟時，性能受到極大的影響，沒有彈性擴縮能力，無法實現(xiàn)可變工作負載對 WAF 性能的需求。

NSX ALB應(yīng)用交付提供智能WAF解決方案

NSX ALB 提供了全面的應(yīng)用安全解決方案，不僅提供了應(yīng)用安全的可見性，應(yīng)用的速率限制、 SSL/TLS 加密、ACL 以及應(yīng)用的 DDoS 防護能力外，還提供了應(yīng)用所需要的 WAF 功能，可以輕松抵御 

NSX ALB 中的智能 WAF，采用純軟件架構(gòu)設(shè)計，并且實現(xiàn)了控制和轉(zhuǎn)發(fā)分離，除了針對 Web 應(yīng)用防護能力外，還可以針對業(yè)務(wù)對性能方面的要求，實現(xiàn)靈活的 WAF 智能擴縮容能力，并實現(xiàn)端到端延時的可視性。

從上圖中我們可以看到，NSX ALB 中的智能 WAF 對比傳統(tǒng)的 WAF 解決方案具有明顯的技術(shù)優(yōu)勢，所以我們接下來將從各個維度來介紹一下 NSX ALB 中的智能 WAF 解決方案的技術(shù)優(yōu)勢，以適應(yīng)云環(huán)境下 Web 應(yīng)用對安全的需求。

多云環(huán)境中簡化了 Web 應(yīng)用安全的運維管理

當(dāng)前的越來越多的應(yīng)用開始采用多云環(huán)境部署，并且進行了微服務(wù)的改造，這些應(yīng)用極易受到安全的威脅，例如 SQL 注入、XSS 跨站、命令注入等，所以需要通過 WAF 對這些 Web 應(yīng)用進行安全的防護。NSX ALB 智能 WAF 啟用 WAF 策略非常的簡單，它內(nèi)置了默認的 WAF 策略，只需要通過鼠標點擊幾次就可以為某一個特定的應(yīng)用開啟 WAF 功能，實現(xiàn)基于應(yīng)用的智能 WAF.

WAF 策略在默認的情況下，只開啟了檢測模式，只對檢測到的安全威脅進行標記，而不對其進行阻止，我們可以針對模認的 WAF 策略開啟阻止模式。

NSX ALB 智能 WAF同時使用機器學(xué)習(xí)進行異常的檢測，它會自動的學(xué)習(xí)流量的行為特征，并且在應(yīng)用運行的一段時間里為其行為設(shè)定基線，隨后， NSX ALB 智能 WAF 就可以識別行為中的變化，一旦發(fā)生了行了為變化，就會將其識別為異常，簡化了 WAF 策略的配置。

針對 Kubernetes/OpenShift 環(huán)境，NSX ALB 提供了 ingress 能力，實現(xiàn)了服務(wù)暴露，通過 CRDs 也可以為基于容器的服務(wù)自動關(guān)聯(lián) WAF 策略。通過此種方式，實現(xiàn)了在一個架構(gòu)之下，為虛擬機的應(yīng)用和基于容器的應(yīng)用同時提供 WAF 安全策略，實現(xiàn)了在云中一致的安全運維體驗。

應(yīng)用安全的可視化以及安全分析

NSX ALB 智能 WAF 內(nèi)置了針對 Web 應(yīng)用攻擊行為的可視性分析和日志分析能力，讓安全管理員更加了解應(yīng)用受到攻擊的趨勢。

我們可以在一個界面上查看到某個特定應(yīng)用受到攻擊的趨勢，匹配 WAF 規(guī)則的次數(shù)以及客戶端 IP 的統(tǒng)計以及調(diào)用的應(yīng)用路徑，應(yīng)現(xiàn)應(yīng)用級別的分析。同時，我們可以每一筆交易的端到端延時的分析，用于應(yīng)用性能方面的排錯，我們還可以讓安全管理員了解客戶端的詳細信息以及針對這個應(yīng)用的攻擊的詳細信息

為應(yīng)用安全提供了彈性擴展的架構(gòu)

隨著云內(nèi)的 Web 應(yīng)用的不斷擴張，對 WAF 的性能要求越來越高，傳統(tǒng)的 WAF 采用集中式部署，更多的是采用硬件方式，無法實現(xiàn)在應(yīng)用擴張時提供彈性的容量。NSX ALB 智能 WAF 配合負載均衡實現(xiàn)了服務(wù)引擎的自動擴縮容能力，分布式的架構(gòu)保證了多個服務(wù)引擎在控制器上統(tǒng)一進行管理和 WAF 策略的下發(fā)，所有的服務(wù)引擎可同時為應(yīng)用提供服務(wù)，而非傳統(tǒng)的主備模式，解決了傳統(tǒng) WAF 性能瓶頸的問題。

總結(jié)

前面我們介紹了 NSX ALB 智能 WAF 的優(yōu)勢和特性，它是一個純軟件的解決方案，并且采用了控制和轉(zhuǎn)發(fā)分離的架構(gòu)實現(xiàn)了 WAF 的創(chuàng)新，同時內(nèi)置豐富的日志和分析能力，提升了安全運維的效率。在云時代，NSX ALB 智能 WAF 為關(guān)鍵業(yè)務(wù)提供了更加高效的安全防御能力。