4月底的Struts2 S2-032讓安全的江湖又掀起了一陣腥風血雨，很多網站紛紛中招，被黑客入侵造成了各種重大損失。從歷史 Struts2 漏洞爆發數據看，此前每次漏洞公布都深度影響到了政府、銀行、證券、保險等行業，這次也不例外。網站的Web安全一直是一個大眾密切關注的方向，接下來我們聊聊這個話題。

　　Web應用安全現狀

超過半數的網站Web應用數據遭受泄露、造成重大財務損失；

企業網站安全事件頻發、遭黑客勒索與競爭對手惡意攻擊；

越來越多的網站開始將業務接入到云計算服務中、充分利用云的計算優勢和便利；

網站的管理者都開始關注網站安全，會使用安全產品進行防護。

企業面臨的挑戰

每天曝光的Web漏洞、危害性大、影響面廣，如何保持實時的更新？

不斷的收到大量的安全告警日志、但不知如何下手？

被第三方漏洞平臺曝光網站安全隱患，防不勝防？

海量肉雞攻擊下網站的頁面顯示很慢甚至無法打開、無能為力？

攻擊從傳統Web攻擊跨越到業務場景、如撞庫、抓取數據、短信接口濫用等，束手無策？

解決方案

WAF(Web應用防火墻)作為一款成熟的網站防護產品、已成為企業為Web應用提供安全防護的必備利器。它能夠抵御定向的Web技術攻擊、部分業務邏輯攻擊以及海量肉雞的惡意訪問。通過對Web應用的深入解析和檢測， 能夠阻攔SQL注入、跨站腳本攻擊，阻止惡意掃描等常見Web攻擊并提供修補漏洞的能力。

云安全下的新特性

WAF作為一款傳統的安全防護產品，已經發展多年。但近年來，隨著云計算市場的火熱，WAF有了一種新的接入方式：云部署。通過簡單的DNS記錄變更，將流量引入到云端防護集群，經過安全防護檢測后，將安全流量回源到服務器。相比于傳統的防護手段，它有如下特點：

產品+數據+運營，三位一體綜合、實現最佳防護效果。傳統的安全防護模式僅是提供形形色色的產品。但絕不僅僅是買了個安全產品就搞定了一切。安全是需要不斷的大數據分析模型、自適應的調整防護策略應對不斷變化的安全趨勢；需要不斷的對產品進行精細化的運營。阿里云在數據和運營上有著先天的巨大優勢，客戶要做的，就是關于自身業務，安全交給我們。

零部署、零安裝、五分鐘接入、快速穩定。僅需簡單的變更、無需繁瑣的機房布線、機器上架等操作、即可快速享受安全防護。同時多集群部署保障業務穩定不受影響。

實時防護0day漏洞。云上安全專家實時監控、針對漏洞的防護規則云端瞬時下發、無需傳統模式下的復雜升級流程。

防護能力自動擴展、與云上網站共享。云上用戶包括淘寶、支付寶等生成的防護規則，百萬級的惡意IP信譽庫、惡意樣本等，均自動覆蓋到您的網站。

集群彈性擴容、輕松應對海量業務下的防護。傳統的防護模式、很難滿足業務突增(如秒殺促銷活動)、海量肉雞攻擊的場景，而云計算時代下的彈性擴容及大數據學習能力、將這些不可能都變成了過去。

在業務上，結合反欺詐、風控、人機識別等相關技術，在不修改應用代碼的情況下，完美的實現防撞庫、防爬防抓、接口濫用等業務防護需求；在產品的結合上，無論是和CDN的聯動打造安全的加速流量，還是和云解析的一鍵開通，無縫融合、滿足用戶業務的各種使用場景。

云WAF發展的新道路

誠然，曾經的云WAF也有被人詬病之處，比如說攻擊者可以繞過WAF直接訪問源站地址進行定向攻擊；業務誤漏報后、不能很好的支持網站的規則自定義；數據的隱私泄露，HTTPS業務下私鑰的安全性等。但經過這幾年技術的發展，這些都變成了歷史，不再是云WAF的弱點、取而代之的是下面的變革：

合規。積極的完成PCI-DSS認證需求，滿足企業對數據安全性的要求。針對數據庫的注入抓取等非授權行為做到安全防護，避免數據泄露。針對企業對HTTPS業務下的私鑰安全顧慮，推出Keysafe方案，無需上傳私鑰，同時支持對加密流量的安全防護。

嚴密。針對以往的指定源站IP進行定向攻擊繞過、一方面可在源站服務器上做安全準入控制、只允許云WAF的IP訪問，其余定向的訪問一律禁止；另一方面將站點流量全部置身于云WAF的防護中、實現網站的隱身，避免真實地址的暴露。

省心。充分利用云計算的大數據優勢、建立起網站的正常模型。能夠清晰的梳理出網站的正常業務請求模型、讓0day漏洞無從繞過，正常的業務請求不被誤阻斷。網站接入初期開啟預警模式、保障線上業務的正常運行、在最短時間內讓網站維護者清晰的清楚業務誤漏報概況。

全面。高性能SSL支持，數據鏈路加密。防護能力更多的覆蓋到如撞庫、接口濫用、業務欺詐、風控識別等業務場景中。

貼心。針對站點、URL等定制各種精細化的防護策略；提供友好可自定義的出錯、攔截頁面；給予網站用戶最好的使用體驗。一切皆可定制，打造成你自己想要的那一個。

對于數據隱私要求性非常高的金融行業，WAF是必備的防護利器。阿里云WAF除了支持云內客戶的網站安全防護，也支持云外客戶的安全需求，通過DNS切換輕松一鍵接入。除此之外、阿里云安全為金融行業還可以提供各類安全服務（如白盒測試、黑盒測試、滲透測試、移動應用測試等），全力為客戶打造安全的解決方案。