web应用防火墙（云waf）发展趋势

众多政府对外服务网站、IDC托管服务器、电子交易网站等Web应用系统长期以来一直被Web应用攻击所困扰，随之而来的是名誉受损、客户投诉、法律纠纷、商业损失等一系列问题。部署专业的针对Web应用交互数据进行检测并提供防御的产品成为一种很有必要的选择。

传统的防护技术一般是利用防火墙，其功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性的安全防护产品。

但是近些年出现了一个新词云waf，也就是我们常说的web应用防火墙云模式，通俗来说web应用防火墙是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护产品。它集成全新的安全理念与先进的创新架构，保障用户核心应用与业务持续稳定的运行。

web应用防火墙一般有三种模式，即硬件、软件和云模式，通常我们说的云waf就是web应用防火墙的云模式，用户不需要安装硬件设施或者软件程序，就可以对网站实施安全防护，它的主要实现方式是利用DNS技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器。

从目前发展来看，云waf已经是众多企业主要选择的产品，云waf因为使用方便，部署便捷，无需手动更新，逐渐成为企业首选的安全防护产品。

目前很多安全厂商都提供云waf产品，如阿里云、腾讯云、华为云、奇安信、安恒等厂商，从整体来说，这些大厂商的云waf产品价格较贵，以阿里云waf企业版来说，一年的价格就高达12万多，3年的使用价格高达22万多，如果还需要其它附加功能，还要增加很多费用，这是很多企业都无法承受的。

但是目前也有一些免费的云waf产品，比如GOODWAF，这就是一款比较好用的免费云waf产品，亲测防护效果不错，具备cc防护、xss攻击防护、sql注入防护、防盗链、防篡改等功能，确实都是免费的，没有需要付费的附加功能，防护也比较简单，只需要备案号、域名、ip，就能防护网站，比较适合中小企业、政府机构、教育、金融等行业使用。

目前从整体来看云waf会成为未来安全防护的主流产品，尤其是针对中小企业来说，费用较低的、安装便捷的云waf逐渐取代其它web防护产品，免费云waf将成为被使用的主流产品。