形势迫在眉睫！绿盟vWAF护航私有云WEB安全

一 业务上云面临新的WEB安全挑战

当前各组织机构普遍积极拥抱业务云化，推动数字化改革。在业务云化以及建设私有云平台的过程中，用户不仅面临各类常见Web攻击，也会遭遇虚拟化场景的威胁，例如未经授权访问、虚拟机逃逸、敏感信息泄露等。面对日益频繁和多样化的Web攻击，各单位亟须建设和完善云环境下的Web安全防护能力。

在云化部署要求下，客户也面临了诸多挑战：

. 客户业务部署在多种云上，安全产品要兼容各种公有云/私有云平台；

. 客户集团业务多种多样，安全产品如何实现集中管理，各业务部门分开运营；

. 根据国产化替换要求，对于国产化操作系统/硬件平台/虚拟机系统要全面兼容；

. 安全部署形式需要跟随业务部署方式，虚拟化/容器化/云原生等业务环境下如何部署业务安全。

二 私有云环境对WEB防护提出新要求

虚拟化环境的特性对WEB防护产品提出了新的要求，具体包括：

. 需要支持虚拟化交付形态，且与硬件设备具备同等效果的防护能力，面向租户提供弹性、可扩展以及按需的WEB防护，防御OWASP TOP 10的各类WEB攻击，例如：Web服务器/插件防护，爬虫防护，跨站脚本防护，跨站请求伪造防护，Cookie安全，暴力破解防护，XML攻击防护等。

. 需要支持主流虚拟化环境下的自动化部署和管理，要求虚拟化WAF能够支持适配多种云平台，降低因安全策略与虚拟化资源变更不同步引入的风险。

. 需要能够支持提供细粒度的WEB安全策略，针对特定虚拟机VM的进、出流量进行检测和防护。

. 需要能够支持多样化的灵活部署，包括串联、反向代理、旁路部署等，实现云场景下的快速简易部署。

三 绿盟私有云WEB安全解决方案

绿盟科技作为国内WAF领导者，有16年的攻防能力积累，连续4年进入Gartner WAF魔力象限。绿盟科技全新推出WAF虚拟化版本，即：vWAF，为虚拟化数据中心提供弹性、可扩展、按需的解决方案。绿盟vWAF具备与硬件系列一致的防护能力，缓解OWASP Top 10风险，对于应用层DDoS、网站敏感信息泄露、Web service安全均有经市场验证、成熟的防护方案。

四 绿盟vWAF产品特色

绿盟vWAF的产品特色具体如下：

vWAF灵活轻便，扩展性强

在云和虚拟化环境，绿盟vWAF自身支持通过证书实现无缝升级，客户可以根据业务需求按需采购和弹性扩展。同时，可以通过负载均衡流量分发方案提供高可用性、负载分担、横向扩展。当业务流量发生突增时，能快速拉起新的vwaf，规避硬件WAF申请的多个环节，缩短业务割接时间。目前，虚拟化WAF支持反向代理和插件化集群部署。

vWAF支持适配多种云环境

绿盟vWAF虚拟机镜像部署支持多种形态，包括：vmdk，ova，qcow2，raw，并且支持docker容器化部署；支持部署在亚马逊云AWS、微软云Azure、华为云、阿里云、腾讯云、天翼云、联通沃云、浪潮云等14种云平台。同时，虚拟化WAF全面支持国产化环境：支持的服务器CPU包括海光(X86)、飞腾（ARM）；操作系统包括统信、麒麟。

支持集中管理，分域运维

对于集群化场景，绿盟ESPC能够对多台vWAF进行集中管理，完成设备的上下线管理，性能监控，日志管理，策略的批量下发；同时还能支持业务划域管理，不同的业务域可以分配不同的安全策略，交予不同的业务部门进行安全运营和管理。

vWAF支持高规格挡位

除了原有应用层吞吐50Mbps~1000Mbps，5个型号外，新版本vWAF还增加了应用层吞吐3Gbps，6Gbps，10Gbps，三个新的型号，满足私有云场景高性能WEB防护需求。

vWAF部署灵活，运维简单

绿盟vWAF能够支持多样化部署模式，包括：串联部署、旁路部署、反向代理部署；产品支持提供QGA接口并支持VMtools，实现初始化实例工作自动化；并提供开放RESTful API接口，实现产品能力全API化，满足云管理平台对接需求，实现高效、自动化运维。

vWAF支持提供细粒度WEB防护策略

虚拟化WAF部署于虚拟化环境，支持特定VM、包头、包内容的细粒度安全检测防护。

vWAF支持排除硬件故障风险

对于硬件WAF可能存在的CF卡、硬盘、网卡、SSD卡等硬件故障风险，以及由硬件故障带来的业务中断风险，都可以有效规避。

五 绿盟vWAF护航私有云WEB安全

多层次的安全机制

绿盟vWAF通过检测针对应用程序、插件、Web Server和网络的攻击来保护Web应用程序和下层的基础设施。除了多种基于规则的检测外，vWAF安全机制还包括：可以通过交互式地验证客户端用户行为来追踪自动化攻击、通过自学习和白名单在一定程度上抵御0day攻击和通过过滤从服务器端返回客户端的敏感信息。

基于用户资产视角提供防护

绿盟vWAF重点关注私有云用户的Web服务器资产，以IP地址、端口、OS以及Web服务等信息作为组织Web安全解决方案的依据，生成最贴合资产环境的安全策略，提供精准、高效的Web安全防护。

优化的配置向导

在丰富的客户服务经验基础上，绿盟vWAF在定义客户的Web服务器资产时提供了一个优化的配置向导。这个配置向导通过在增加Web站点的过程中向用户询问信息，一步一步地引导用户精确地定义资产环境，并根据资产环境提供最优的安全策略，在显著地简化和方便了安全配置的同时，实现了对规则的精准利用。

通过云安全服务提供应急响应

通过联动绿盟科技云安全服务的支撑（MSS for WAF），绿盟vWAF可以实现与绿盟科技云安全中心对接和同步，由安全专家团队协助用户对网站安全隐患和遭受的攻击威胁进行7*24小时全天候监控，从事前检测防御、事中响应防护、事后持续监控的角度，最大限度降低Web应用安全风险。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

关键词：