一、WAAP是啥
近两年,国内应用安全领域十分流行WAAP(Web Application and API Protection)的概念,并将其称之为“下一代WAF”。阿里云、启明星辰、绿盟、天融信、瑞数、云科安信、安数云等等厂商都在包装自己的WAAP解决方案,信通院也紧跟热点陆续发起多批WAAP安全能力评估工作。
从名称来看,WAAP比传统WAF多一层API防护能力。
从信通院的WAAP安全能力要求框架看,WAAP包括:
●Web应用防护:传统WAF能力,保护Web应用免受常见攻击
●API安全防护:API安全监测、API安全管理
●DDoS防御:防护,流量管控、监测、清洗
●Bot防护:防护;行为管理(访问趋势、异常处置)
图源:信通院
传统赛道的包装升级,充斥着众多大佬玩家,中小企业看看自己兜里那点捉襟见肘的安全预算,这些烧钱的所谓下一代方案,摆摆手,不合适,不敢用。
二、传统WAF
很多厂商宣传时为了凸显WAAP的先进性,会把“传统WAF”局限在很古早的概念里,也就是通过预定义的规则和策略来过滤和监控HTTP/HTTPS流量,从而检测SQL注入、XSS、文件包含等针对Web应用的常见攻击,同时包含一些日志记录和审计的功能。
前几年也曾流行“WAF已死”这样故意制造噱头的说法。中小企业看看这些传统WAF,误报多,功能落后,性能差,安全建设变成IT运维的累赘,虽然预算不足,但也实在宁缺毋滥,无法将就。
三、雷池社区版是WAAP平替吗?
雷池WAF一直是长亭科技主打的拳头产品,基于语义分析的检测引擎很强!更重要的是,长亭这两年隆重推出免费开源的社区版(当然也有收费不太贵的专业版,价格在这里:https://waf-ce.chaitin.cn/version),在安全市场上大火。
好产品经得住市场的检验。无数用户反馈雷池足够简单、足够好用、足够强。
和传统WAF对比
1.便捷:容器化部署,一条命令即可完成安装,0 成本上手。安全配置开箱即用,无需人工维护,“躺平式”的安全管理。
2.安全:首创业内领先的智能语义分析算法,精准检测、低误报、难绕过。语义分析算法无规则,有效防御未知特征的 0day 攻击。
3.高性能:无规则引擎,线性安全检测算法,平均请求检测延迟在 1 毫秒级别。并发能力强,单核轻松检测 2000+ TPS,只要硬件足够强,可支撑的流量规模无上限。
4.高可用:流量处理引擎基于 Nginx 开发,性能与稳定性均有保障。内置完善的健康检查机制,服务可用性高达 99.99%。多维能力拓展:人机验证、监控联动、插件集成、情报共享、免费证书、CC防护等。
和WAAP对比
1.Web应用防护:完全满足WAAP能力要求,甚至超常发挥。
2.API安全防护:雷池社区版 3.0版本就已经集成了API 自动识别能力,并在接下来的版本里融入了API防护能力。雷池采用动态基线和预测分析技术分析异常访问行为。
3.DDoS防御:相较于CDN和云服务商的恶意流量分散能力来说,无论是WAF还是独立WAAP抵御DDo S的能力都是有限的。但雷池所具备的流量过滤、速率限制、地理位置限制等能力能够在一定程度上对DDoS起到很好的防御作用。例如,
•频率限制:雷池WAF可以设置速率限制规则,以限制同一IP地址在一定时间内发送的请求数量。这有助于防止大量请求淹没服务器。
•IP黑名单/白名单:雷池WAF可以基于IP地址进行流量过滤,将已知的恶意IP地址加入黑名单,或者只允许特定IP地址的请求。
•地理位置限制:雷池WAF可以根据请求的地理位置进行限制,阻止来自特定地区的可疑流量。•行为分析:雷池WAF可以监控和分析请求的行为模式,识别异常的请求模式(如突然的大量请求),并采取相应的防护措施。
•异常检测:通过机器学习和行为分析,WAF能够检测到异常流量和可疑行为,自动调整防护策略。
4.Bot防护:雷池的 “人机验证” 能力是专为社区用户提供的免费防 Bot 解决方案,无需开发,只要通过界面简单配置规则即可生效。特别是近期发布的7.0版本,又对人机验证能力作了升级。
综上,雷池社区版的安全能力、性能等方面远超传统WAF,同时几乎满足WAAP所有的基本能力要求,因此完全可以被认为是WAAP的平替!无预算的中小企业和个人可以用免费版,满足基本防御需求,有预算的可以升级专业版,功能更丰富,更便于管理。
总结
雷池社区版有专门团队支持维护,目前仍然保持着高频率的版本更新,未来还会不断进行功能扩展和升级,以更好地满足用户的安全需求。对于中小企业和开发者来说,雷池社区版是一个非常实用的基础安全防护工具,可以为其Web应用提供强大的安全保障。
想了解更多,直接看雷池社区版官网:https://waf-ce.chaitin.cn/
完整帮助文档:https://docs.waf-ce.chaitin.cn/zh/home