（文章來源：CSDN）

如今，電子政務、電子商務、網上銀行、網上營業(yè)廳等依托Web應用，為廣大用戶提供靈活多樣的服務。在這之中，流量攻擊堪稱是Web應用的最大敵人，黑客通過流量攻擊獲取利益、競爭對手雇傭黑客發(fā)起惡意攻擊、不法分子通過流量攻擊癱瘓目標后勒索高額保護費，往往會對業(yè)務造成嚴重損害。

對于開發(fā)者和企業(yè)網站管理人員來說，數據爬取、暴力破解和撞庫等Web攻擊手段日益復雜，均需要建立強大且實時的防御能力，避免業(yè)務乃至企業(yè)因防護脆弱“失血過多”而死。部署WAF成為公認的最基礎且有效的防御手段，但由于攻擊手段的多樣化和企業(yè)業(yè)務的復雜性，傳統(tǒng)的本地部署WAF已經越來越難以發(fā)揮預想的防御效果。

云WAF恰恰能夠解決本地部署WAF的缺陷，成為大量中小型企業(yè)以及個人網站的新選擇。云WAF部署簡單、維護成本低，無需安裝任何軟件或者部署任何硬件設備即可將網站部署到云WAF的防護范圍之內。云WAF的防護規(guī)則都處于云端，新漏洞爆發(fā)時，由云端負責規(guī)則的更新和維護，用戶無需擔心因為疏忽導致受到新型的漏洞攻擊。

在日常的部署中，網站負責人員如何選擇與自身業(yè)務屬性和發(fā)展規(guī)劃匹配的云WAF產品？如何確保其能夠為現階段業(yè)務提供高可用的產品與服務？又如何為未來業(yè)務發(fā)展中安全防護的持續(xù)性和可擴展性做好冗余？目前的Web應用逐步API化，除了傳統(tǒng)的Web攻擊，API的安全問題、網絡中的機器人流量的問題也日趨嚴重，Web應用安全從傳統(tǒng)的SQL、XSS防護等，逐步開始向API安全，Bot機器人行為防護等防護技術過渡。

在Web攻防實戰(zhàn)中最受關注的有四種攻擊方式：一是植入webshell，控制管理后臺然后拖庫；二是Web內容被惡意替換成違法違規(guī)的圖片和文字；三是掛入黃賭網頁、私服或跳轉頁面等倒量引流；四是競品發(fā)動DDoS攻擊致使業(yè)務癱瘓。

攻擊技術、漏洞披露等日趨成熟，特別是針對Web安全相關漏洞的利用日趨產業(yè)化，企業(yè)需要更加重視如何在安全運營中進行快速響應，構建與之適應的安全運營體系。企業(yè)首先應該做好自查，全面完整的自我了解是企業(yè)實現Web應用安全防護的基礎。同時，更應該嘗試和接納新興技術，以顯著提高對新型威脅和未知威脅的檢測、防御效果。

某旅游網站被爆全網站2100萬條“真實點評”中有85%的評論是通過爬蟲 Bot 機器人程序從競爭對手平臺抄襲而來，“點評抄襲造假”的輿論風波一時驟起，使網站深陷質疑；同年2月，某視頻網站遭遇大量原創(chuàng)內容和用戶數據被非法網絡爬蟲盜取侵權；航空公司遭爬蟲惡意低價搶票等事件層出不窮，無一不在挑戰(zhàn)著各行業(yè)網站業(yè)務的安全防線。

傳統(tǒng)上用于檢測和防護惡意BOT流量的訪問頻率限制、IP黑名單設置、CAPTCHA驗證人類用戶等方法和規(guī)則已無法有效應對不斷升級的威脅形勢。而從BOT實際運作的模式不難看出，BOT（機器人行為）訪問流量的好壞實際是由實際操控者所決定。如何對網站訪問的BOT流量進行有效行為甄別與安全管理，成為各行業(yè)開展線上業(yè)務共同面臨的安全挑戰(zhàn)，是全網發(fā)力破解的重要痛點之一。

針對BOT行為友好與惡意雜糅并存的特征，企業(yè)在防御惡意BOT流量訪問與攻擊時，不應采用“一刀切”簡單方式進行封堵，而應在精準區(qū)分BOT程序和人類訪問流量、友好BOT和惡意BOT流量的基礎上，形成差異化響應策略，助力企業(yè)真正實現高效防護惡意BOT流量攻擊的目標，繼而夯實全網Web安全線。

基于“精準流量監(jiān)測技術是解決惡意BOT攻擊識別問題關鍵”的基本思路，騰訊云WAF上線了基于“規(guī)則+AI”雙引擎，打造的BOT行為管理解決方案，可幫助企業(yè)有效甄別友好及惡意機器程序并采取針對性流量管理策略。策略思路方面，該方案主張采用溫和管理而非直接杜絕的策略，以在保障友好BOT運行的前提下，確保風險管控響應的精準性。

SaaS模式的WEB應用安全產品憑借其便捷的應用部署、靈活的訂閱方式、強大的可擴展性、輕量的運維負擔等諸多優(yōu)勢，越來越普遍地被企業(yè)級客戶，尤其是網絡運維人員緊缺、安全預算有限或業(yè)務變化較快的中小型企業(yè)所接受，成為企業(yè)構建業(yè)務安全防護體系時的一項重要選擇。

國內主要公有云和私有云服務提供商均為租戶提供了全面的云原生安全防護產品，用戶可以很便利地按需訂閱符合自身業(yè)務需求的Web應用安全產品。同時，在公有云/私有云平臺的云市場中也提供了第三方安全廠商專為云平臺打造的虛擬化Web應用安全產品，企業(yè)用戶可以靈活選擇信賴的品牌產品，以實現云端業(yè)務的全面安全保護。

在構建云安全防御體系時，利用云服務商提供的一整套安全解決方案和推薦產品，更快捷，更加系統(tǒng)地構建自己的防御體系；減少利用非原生安全產品造成的架構復雜、安全數據無法共享、運營成本高等問題。同時利用云原生的基本安全能力和最新安全技術能力,構建主動防御體系，如利用基礎DDoS、安全組、IPv6轉換、VPC Peer等構建可靠的網絡體系，利用AI技術、威脅情報、API安全、賬號安全體系等，搭建更符合云上應用的安全運營系統(tǒng)。

5G網絡的普及可能會極大的擴展應用的邊界和形態(tài)，包括從TOC向TOB的發(fā)展，邊緣計算的興起等等。另外可能5G應用的場景的多樣化，客戶對安全的需求也會大幅增加。在未來，我們可能很難通過標準的產品來滿足客戶的安全需求，這里面可能就需要客戶來自己通過開放的平臺來編程實現自己的功能，整體上就是產品去和邊緣計算去做結合，然后實現用戶可編程的安全。
? ? ? ?