四大云WAF实战测试险遭团灭

云WAF的防护规则都处于云端，新漏洞爆发时，由云端负责规则的更新和维护，用户无需担心因为疏忽导致受到新型的漏洞攻击。

可充当CDN

云WAF在提供防护功能的同时，还同时具有CDN的功能，在进行防护的同时还可以提高网站访问的速率，CDN通过跨运营商的多线智能解析调度将静态资源动态负载到全国的云节点，用户访问某个资源时会被引导至最近的云端节点从而提高访问速度。

但是，目前国际市场上一些有代表性的云WAF产品(本文主要讨论云计算服务商提供的云WAF)，到底“能不能打”?

在Gartner的调研报告下面，很多企业安全人员的留言对云WAF也是褒贬不一，一位软件工程师认为AWS Web Application Firewall是“最可靠的软件”。但另一位专家称云WAF有“需要进一步解决的问题”。至于Azure，评论似乎更加复杂。一位架构师认为，“仍准备了专用WAF设备作为备份”，尽管许多人认为它“易于实施和使用”。

由于目前市场上很少有第三方机构对云计算服务商的云WAF产品进行实战检测，因此客户对云WAF性能和功能的认知，有时候可能只是一种对云安全的“蜜汁自信”。云WAF是否可以很好地阻止常见的Web应用程序攻击?

近日，网络安全团队Fraktal针对AWS WAF (Amazon)、AWS WAF (Fortinet)、AZURE WAF (CRS 3.1)、BARRACUDA(梭子鱼)WAF-as-a-service四款常见的云服务商的云WAF产品(服务)做了一个实战测试，结果有些令人吃惊。测试内容如下：

测试设置

我们在AWS和Azure中搭建了测试环境，以测试云WAF。我们的设置包括以下内容：

• 攻击者的主机在特定的目标Web主机上执行数千个脚本化的测试用例。我们将有效负载注入了发往目标主机的HTTP GET和POST请求。
• 在云容器平台上，目标Web主机运行容器化自定义Web服务器——AWS Elastic Container Service ECS或Azure容器实例ACI。该Web服务器对所有传入HTTP请求反馈HTTP响应代码“200 OK”。
• 目标Web主机前置一个具备WAF功能的云负载平衡器——AWS Elastic Load Balancer ELB或Azure Web Application Gateway。
• 从Azure Marketplace配置的梭子鱼WAF即服务(WaaS)，将流量定向到Azure ACI上的目标Web主机。

（编辑：漯河站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!