新一代Web安全技術(shù)應(yīng)用指南（2024版）-安全牛

任何組織和個人不得以任何形式復(fù)制或傳遞本報告的全部或部分內(nèi)容，不得將本報告內(nèi)容作為訴訟、仲裁、傳媒所引用之證明或依據(jù)，不得用于營利或用于未經(jīng)允許的其他用途。任何經(jīng)授權(quán)使用本報告的相關(guān)商業(yè)行為都將違反《中華人民共和國著作權(quán)法》和其他法律法規(guī)以及有關(guān)國際公約的規(guī)定。未經(jīng)授權(quán)或違法使用本報告內(nèi)容者應(yīng)承擔(dān)其行為引起的一 本報告僅供本公司的客戶使用。本公司不會因接收人收到本報告而視其為本公司的當然客戶。任何非本公司發(fā)布調(diào)查資料收集范圍等的限制，本報告中的數(shù)據(jù)僅服務(wù)于當前報告。本公司以勤勉的態(tài)度、專業(yè)的研究方法，使用合法合規(guī)的信息，獨立、客觀地出具本報告，但不保證數(shù)據(jù)的準確性和完整性，本公司不對本報告的數(shù)據(jù)和觀點承擔(dān)任何法律責(zé)任。同時，本公司不保證本報告中的觀點或陳述不會發(fā)生任何變更。在不同時期，本公司可發(fā)出與本報告所載資料、在任何情況下，本報告中的信息或所表述的意見并不構(gòu)成對任何人的行為建議，或需求?？蛻魬?yīng)考慮本報告中的任何意見是否符合其特定狀況，若有必要應(yīng)尋求專家意見。任何出現(xiàn)在本報告中的包括但不限于評論、預(yù)測、圖表、指標、指標、理論、陳述均為市場和客戶提供基本參考，您須對您自主決定的行為負責(zé)。本公司不對因本報告資料全部或部分內(nèi)容產(chǎn)生的，或因依賴本報告而引致的任何損失承擔(dān)任何責(zé)任，不對任何因本報告目錄 6 6 6 9 4.1云原生架構(gòu) 4.3模塊化設(shè)計 4.6智能化防護 第五章部署方式及方案選型建議 5.3年度代表性廠商及能力介紹 參考資料 隨著數(shù)字化轉(zhuǎn)型的深入推進，Web應(yīng)用成為驅(qū)動企業(yè)數(shù)字化轉(zhuǎn)型、重塑企業(yè)業(yè)務(wù)價值的關(guān)鍵抓手。企業(yè)紛紛利用能技術(shù)的廣泛應(yīng)用，Web攻擊工具、攻擊手段又有了顯著進步。Web應(yīng)用面臨的風(fēng)險除了DDoS攻擊、SQL注入、理念，并分析了新一代WAF的關(guān)鍵技術(shù)和核心能力。為幫助用戶如何構(gòu)建應(yīng)對新型Web攻擊及新興業(yè)務(wù)場景所需的.常見的Web風(fēng)險類型：本次調(diào)研發(fā)現(xiàn)，56.3%的受訪者表示遭受過2次以上Web風(fēng)險。其中，Web非法訪.Web安全防護有效性：本次調(diào)研發(fā)現(xiàn)，傳統(tǒng)攻擊類型中，DDoS防御有效性方面取得一定進展，而SQL注入防御難度仍然較高，防御措施有效性有待進一步提高；新型風(fēng)險中，敏感數(shù)據(jù)泄露.Web安全部署方式：本次調(diào)研發(fā)現(xiàn)，本地部署、容器化部署和SaaS服務(wù)的比例是2/5:1/4:1/3。說明私有化.為應(yīng)對云原生時代Web面臨的安全挑戰(zhàn)，本報告從系統(tǒng)化建設(shè)角度提出了新一代Web安全建設(shè)的思想，并從可視化、云原生等先進理念。新一代Web安全技術(shù)特點主要體現(xiàn)為：云原生架構(gòu)、多云環(huán)境支持、模塊化設(shè)計、自適.根據(jù)調(diào)研中各廠商所提供的方案建設(shè)特點，本報告將新一代Web安全方案分為：私有化建設(shè)方案、SaaS化云服務(wù)方案、混合部署方案三類。同時結(jié)合對廠商產(chǎn)品的了解，安全牛認為，當前國內(nèi)新一代Web安全產(chǎn)品和方案已經(jīng).調(diào)研發(fā)現(xiàn)，由于云計算的廣泛應(yīng)用，部分成熟的Web安全能力逐漸脫離了原始的技術(shù)開發(fā)商，不斷向云服務(wù).Web安全與新技術(shù)不斷碰撞融合，已經(jīng)開始結(jié)合AI、SECaaS、5G等新興技術(shù)，以及C安全理念的發(fā)展。安全牛認為：云原生安全、縱深防御、API、SECaaS、新興領(lǐng)域?qū)谖磥磉M一步引領(lǐng)Web安全發(fā)催生了大量松耦合、彈性化的分布式應(yīng)用。據(jù)Gartne另一方面，據(jù)統(tǒng)計，83%的企業(yè)已采用多云戰(zhàn)略。企業(yè)云廠商提供的服務(wù)。與此同時，不少企業(yè)也保留了部分本地數(shù)據(jù)中心，形成了多云與本地混合的IT架構(gòu)。多云、混合云等新型IT架構(gòu)不斷涌現(xiàn)，對跨云管理提出更高要求。這給統(tǒng)一的Web安全防護帶來巨大挑戰(zhàn)。不同云平臺的API接口據(jù)格式各不相同，不同云服務(wù)的防護粒度、效果也參差不齊，給一體化管控在此背景下，傳統(tǒng)的單體式WAF已難以滿足云原生環(huán)境下業(yè)務(wù)擴展和變化的需求，亟須在架構(gòu)層面重新設(shè)計，構(gòu)建隨著云計算、大數(shù)據(jù)、人工智能等新興技術(shù)在網(wǎng)絡(luò)攻防中的運用更加廣泛深入，各類新型攻擊手段和戰(zhàn)術(shù)不斷涌現(xiàn)，攻擊成本大幅降低，攻擊效率顯著提升，網(wǎng)絡(luò)攻擊的武器庫也在與日俱增。Web攻擊技術(shù)正呈現(xiàn)出自66近年來，為規(guī)避檢測，逃避溯源，網(wǎng)絡(luò)攻擊者廣泛使用各類加密和混淆技術(shù)，使惡意程序變種頻出，攻擊更加隱蔽。一方面，加密通信讓惡意流量“隱身”。Fortinet在2023年中期報告中提到，近60%的惡意軟件通信通過加密隧道進行。這不僅包括勒索軟件、銀行木馬，還包含一些信息竊取類惡意軟件。IBMX-Force在2023年的報告中同樣指出加密流量下的惡意活動有所上漲。他們的統(tǒng)計顯示，相比2022年，2023年初觀察到的通過加密協(xié)議進行的惡意活動增加約定義通信協(xié)議，利用Cookie字段傳輸加密數(shù)據(jù)，隱蔽性極強。結(jié)合多層編碼、環(huán)境檢測等混淆手段，其免殺能力已可媲可見，隨著網(wǎng)絡(luò)攻防對抗的升級，加密混淆技術(shù)已成為攻擊者的護身法寶。這對基于流量分析的傳統(tǒng)檢測手段構(gòu)成嚴77然而，傳統(tǒng)的基于特征碼的漏洞檢測手段對其無計可施，亟須在漏洞情報獲取、威脅狩獵等方面加大投入，盡早發(fā)現(xiàn)在服務(wù)器上執(zhí)行，甚至完全控制服務(wù)器，危害極大。Web應(yīng)用對用戶上傳的文件缺乏必要的安全校驗是文件上傳漏洞或“IIS解析漏洞”等，攻擊者可在上傳非可執(zhí)行文件（如圖片）時，插入可執(zhí)行腳本，誘導(dǎo)服務(wù)器錯誤解析，從而意代碼。再如，有的攻擊者會將惡意文件拆分，繞過掃描后，再在服務(wù)端重組，發(fā)動攻擊。這些文件上傳漏洞變種的隱蔽近年來，隨著微服務(wù)、移動應(yīng)用的興起，API（應(yīng)用程序編程接口）已成為各類應(yīng)用連接的“神經(jīng)末梢”。據(jù)調(diào)查，當前，API濫用呈現(xiàn)出業(yè)務(wù)邏輯攻擊為主的特點。不法分子通過逆向工程、流量分析等手段深入理解API業(yè)務(wù)，尋找88更令人擔(dān)憂的是，在開放API的盛行下，API濫用攻擊正呈現(xiàn)出自動化、武器化的趨勢。一些黑產(chǎn)團伙專門對各類聯(lián)網(wǎng)流量的64%。Bot給企業(yè)和用戶帶來一方面，新型Bot可通過模擬人類行為，偽裝成真實用戶，躲避常規(guī)檢測。例如，一些“高仿”Bot可以隨機修改User隨著網(wǎng)絡(luò)攻防對抗進入智能化時代，傳統(tǒng)WAF在未知威脅防護、精準度、性能等方面逐漸暴露不足，遠不能滿足云用基于特征的檢測模型，通過人工配置或機器學(xué)習(xí)方法固化已知攻擊的關(guān)鍵特征，對惡意請求進行簽名級匹配查殺。一旦99用、未授權(quán)訪問等，檢出率甚至不到5%。零日漏洞的防護效果更堪憂。以ApacheLog4j2漏洞為例，爆發(fā)初期僅30%可見，傳統(tǒng)WAF雖可過濾已知攻擊，但對未知威脅的防護能力更大的問題在于，傳統(tǒng)WAF所依賴的安全知識質(zhì)量不高。據(jù)統(tǒng)計，開源WAF的規(guī)則庫平均覆蓋率不到50%，商用存在樣本偏差。個別靠“堆砌”規(guī)則博眼球的做法，雖然數(shù)量上去了，但實際有效性不足30%?？梢姡谥R驅(qū)動檢測的數(shù)據(jù)質(zhì)量不高；其三，檢測視角狹窄，缺乏全局觀。在“從嚴攔截”與“寧漏勿失”之間，用戶不得不反復(fù)權(quán)衡，安全性首先在于規(guī)則引擎的低效。傳統(tǒng)WAF采用串行的規(guī)則匹配邏輯，每個規(guī)則都獨立工作，缺乏全局優(yōu)化，隨著規(guī)則數(shù)量增多，檢測時延成倍增加。其次，狀態(tài)管理攻擊和未知威脅防不勝防；其高誤報、低覆蓋的頑疾，讓用戶時刻面臨“過”“失”兩難；其落后的架構(gòu)也制約了云時代為了解國內(nèi)當前Web應(yīng)用安全現(xiàn)狀，本次調(diào)研中，受訪者主要來自金融、制造、互聯(lián)網(wǎng)、政務(wù)、能源、電信、教育、醫(yī)療8個行業(yè)。其中，金融、制造行業(yè)比例各占25%，互聯(lián)網(wǎng)行業(yè)占比為15.6%，政務(wù)，公共事業(yè)單位用戶9.4%。從受訪者的企業(yè)規(guī)模來看，5000人以上的大型企業(yè)占比28.1%，5000—1000人之間的中大型規(guī)模企業(yè)的占比34.4%，1000—500人之間中等規(guī)模企業(yè)占比受訪者中，Web安全防護的類型有：企業(yè)官方網(wǎng)站，Web遠程應(yīng)用，業(yè)務(wù)系統(tǒng)網(wǎng)站，電商平臺及第三方服務(wù)多種以基本了解為中心呈正態(tài)分布，“基本了解”的占比為37.5%，部分了解和較為了解的占比分別為25%、28.1%，完全不在風(fēng)險影響程度方面，調(diào)研數(shù)據(jù)顯示：認為影響程度高及以上的企業(yè)占比約46.影響較低的企業(yè)占比僅為15.6%。攻擊類型方面，敏感數(shù)據(jù)泄露和SQL注入類型風(fēng)險占比最高，分別為87.5%和81.3%；其次，是非法Web訪問和Web管理失誤導(dǎo)致的風(fēng)險，占比分別為53.?傳統(tǒng)風(fēng)險方面，SQL注入問題由來已久，但企業(yè)仍在高度關(guān)注，說?新型風(fēng)險類型中，敏感數(shù)據(jù)泄露備受關(guān)注，報告認為更多是由于新的數(shù)據(jù)流轉(zhuǎn)政策和數(shù)據(jù)安全合采用率最高，占比分別是84.4%、71.9%；云抗D與云WAF、Web訪問代理、API風(fēng)險監(jiān)測產(chǎn)品的采采用的是私有化部署方式。而在私有化部署方式中，容器化部署代表了私有化中云部署的用戶占了25%非常有效。在應(yīng)對常見Web攻擊方面，68.8%的用戶表示基本有效，18.8%的用戶認為效果有限，12.5%的用戶表示非具體地，有效性表現(xiàn)最為突出的是XSS、CSRF、文件上傳類風(fēng)險防護能力，受到75%的用戶支撐；其次，是已知模和Web安全建設(shè)的普及情況，我們看到，在中大型規(guī)模企業(yè)為主的調(diào)研中，當前階段，Web安全建設(shè)計劃以百萬以內(nèi)是企業(yè)當前選擇Web方案及產(chǎn)品時最受關(guān)注的調(diào)研顯示，當前80%以上用戶在選擇供應(yīng)商時還存有2～3個左右的難點。主要集中的4個方面：新型攻擊和場景調(diào)研顯示，當前企業(yè)在Web安全運營方面面臨的困難還較多，并呈均勻分布狀態(tài)。其中，相對較高的困難是告警處這也表明：告警自動化處理能力、系統(tǒng)化運維能力和應(yīng)急保障能力是當前企業(yè)Web安全運營的短板，企業(yè)應(yīng)加強相調(diào)研顯示，用戶希望新一代Web安全有多方面的能力提升。其中，細粒度風(fēng)險檢測和防護能力占比最高，達到71.9%，顯示出對API脆弱性和數(shù)據(jù)泄露等具體風(fēng)險的高度重視；其次，是新興攻擊防護、自動化處置能力和檢測精度，占比分別是56.3%、59.4%、50%，說明受訪者希望提高系統(tǒng)的響應(yīng)速度和效率，以便更快速地應(yīng)對各種安全威脅；在新興場景適配和系統(tǒng)性能方面提升的用戶占比，分別為37.5%、31.3%，這一數(shù)據(jù)相對較少，但仍然顯示出用戶對性能優(yōu)化和適應(yīng)新技術(shù)環(huán)境的關(guān)注；相比之下，國產(chǎn)化系統(tǒng)適配方面提升的呼聲較小，占比僅28.1%，可能由于該方面能力存在的隨著攻擊技術(shù)的不斷變革，Web威脅逐漸從已知威脅轉(zhuǎn)向未知威脅，攻擊目標傳統(tǒng)的Web安全，我們也稱作第一代W傳統(tǒng)的Web安全防護技術(shù)包括：黑白名單、URL訪問規(guī)則檢測、攻擊特征檢測、網(wǎng)頁防篡改、DDoS防護。代表性在自動化、智能化技術(shù)的加持下，自動化攻擊、未知威脅等新型攻擊手段越來越多樣化。與此同時，數(shù)據(jù)價值的提升隨著人工智能技術(shù)的廣泛應(yīng)用，基于AI的鑒于新型風(fēng)險的復(fù)雜性，相比傳統(tǒng)的Web安全為支持多層次、細粒度的縱深防御，新一代Web安全需要對風(fēng)險檢測與風(fēng)險防護進行解耦，并基于攻防、大數(shù)據(jù)、威脅檢測方面提升了新型攻擊應(yīng)對能力，并進一步擴展了業(yè)務(wù)和數(shù)據(jù)安全能力，實現(xiàn)基礎(chǔ)威脅、高級威脅到數(shù)據(jù)風(fēng)險防護方面，可基于本地防護和聯(lián)動防護構(gòu)建多層的縱深防御能力。對于訪問控制、特征匹配等精準度高的風(fēng)險告警，Web風(fēng)險分析和可視化指通過技術(shù)手段和流程，實時監(jiān)控和分析We通常需要基于環(huán)境、關(guān)聯(lián)分析進一步判斷事件的真實性以及需要采取的處置措施。風(fēng)險監(jiān)測有助于幫助用戶了解整體的風(fēng)構(gòu)建全面的Web安全響應(yīng)處置能力能最大限度地降低新一代Web安全系統(tǒng)框圖從底層資產(chǎn)識別到上層的威脅檢測、再到風(fēng)險監(jiān)測與響應(yīng)處置的多層結(jié)構(gòu)，可以實現(xiàn)：從策略的全生命周期管理；整合多種安全技術(shù)手段-原生環(huán)境對彈性擴展、敏捷交付等方面的新要求。重塑WAF的架構(gòu)形態(tài)和防護理念，構(gòu)建原生融入云環(huán)境的新型WAF，務(wù)器的惡意請求，而容器環(huán)境下，WAF還可借助namespace、cgroups等隔離機制，主動創(chuàng)建“誘捕環(huán)境”，將可疑請求引流到蜜罐容器中，再進行深入分析，化被動防御為主動誘捕。國內(nèi)某創(chuàng)新型安全廠商就利用阿里云的“Sandboxed-Container”機制，構(gòu)建了云原生WAF自適應(yīng)蜜罐系統(tǒng)，可自動根據(jù)Web攻擊流量特征生成蜜罐，平均每天誘捕當然，Serverless作為新興的云原生應(yīng)用形態(tài)，同樣對WAF提出新的挑戰(zhàn)。一方面，Serverless應(yīng)用天然具有短生命周期、高彈性的特點，傳統(tǒng)WAF很難適應(yīng)。另一方面，Serverless平臺提供的FaaS、BaaS等無服務(wù)器組件很容易成為新的攻擊面。對此，創(chuàng)新型云WAF廠商已開始進行積極探索。例如，通過將檢測引擎塑造成“膠水函數(shù)（Glue從橫向擴展看，新一代WAF普遍采用容器集群部署，可輕松應(yīng)對流量的突發(fā)波動。國內(nèi)互聯(lián)網(wǎng)巨頭騰訊云自研的下集群規(guī)模，最大支持億級QPS的防護能力。某云計算廠商則進一步將這一理念日益提升。但傳統(tǒng)軟硬件架構(gòu)往往受限于“一次調(diào)配，終身不變”的資源約束，很難滿足智能安全的新需求。對此，新一依賴人工操作，效率低下，易出錯。而在云原生時代，IaC（Infrastr抽象為代碼，納入版本控制系統(tǒng)統(tǒng)一管理，再通過CI/CD流程實現(xiàn)自動化的配置分發(fā)、升級發(fā)布、回滾等，WAF實現(xiàn)了“EverythingasCode”式的端到端自動化，顯著降低了人為失誤風(fēng)險。一個典型案例是某創(chuàng)新型云廠商發(fā)布的“云原生全流程，實現(xiàn)安全防護“零侵入、零感知、零運維”。有數(shù)據(jù)顯示，采用GitOps等自動化運維當然，隨著AI、大數(shù)據(jù)等新技術(shù)在安全領(lǐng)域的廣泛應(yīng)用，WAF的擴展對象已不限于代碼模塊，智能模型的“即插即的開發(fā)、訓(xùn)練、測試、打包、發(fā)布等全流程，極大降低了AI落地門檻。而領(lǐng)先的云服務(wù)商如AWS、Azure更進一步，將又能保證核心框架和周邊模塊的解耦。無論是Nginx生態(tài)的高度開放，還是Envoy賦能的“Sidecar”終端防護，都為云原生時代，安全策略的自適應(yīng)調(diào)整至關(guān)重要。調(diào)研發(fā)現(xiàn)，在自適應(yīng)安全策略方面，機器學(xué)習(xí)正成為應(yīng)對云時代安全閾值、響應(yīng)動作的效果反饋，并平衡攻防收益，達到化學(xué)習(xí)算法，對阻斷、限速、驗證等多種防御動作進行實時評分，并根據(jù)攻擊變化動態(tài)調(diào)整閾值，將CC攻擊檢出率提高第三，創(chuàng)新性的WAF廠商嘗試利用博弈論、對抗學(xué)習(xí)等前沿理論，從更高層面實現(xiàn)安全策略的自適應(yīng)進化。一個有全人員，通過模擬環(huán)境中的持續(xù)博弈，使雙方策略在對抗中不斷升級，最終收斂到納什均衡。據(jù)稱這套框架可支撐百萬級全策略與代碼掃描、容器檢測等集中編排，實現(xiàn)從CI/CD到生產(chǎn)環(huán)境全生命周期的動態(tài)防護。某頭部云廠商提供的“云原隨著數(shù)字化轉(zhuǎn)型的深入推進，API已成為連接云、移動、物聯(lián)網(wǎng)等新型應(yīng)用的關(guān)鍵紐帶。Gartner預(yù)測，到2025年API將是大多數(shù)Web應(yīng)用的主要攻擊向量。而隨著微服務(wù)、Serverle新一代WAF開始將API安全作為重點方向，從威脅檢測、濫用防范、流量分API威脅檢測是新一代WAF的頭等大事。新一對未知威脅實現(xiàn)“以奇制勝”。業(yè)界創(chuàng)新實踐包括：利用自編碼器等算法壓縮提取API多維指標，通過孤點分析等方法自API血緣分析也是一大亮點。當今API間調(diào)用關(guān)系錯綜復(fù)雜，尋常的單API維度防護難以揪出利用API“聯(lián)盟”發(fā)動時序規(guī)律和群體性特征。一個創(chuàng)新案例是某金融機構(gòu)自研的云原生API安全平臺。該平臺通過eBPF等流量鏡像技術(shù)，捕調(diào)用拓撲圖、時序路徑圖，可實時預(yù)警低頻慢速爬取、批量薅羊毛等隱蔽式濫用。還有云廠商嘗試將知識圖譜與強化學(xué)習(xí)等多維數(shù)據(jù)，并通過有向無環(huán)圖、?；鶊D、甘特圖等可視化圖表直觀呈現(xiàn)，讓API性能瓶頸、故障根因等“原形畢露”?？勺詣泳酆铣尸F(xiàn)跨微服務(wù)的分布式API調(diào)用全景。還有云服務(wù)商將圖數(shù)據(jù)庫與調(diào)用鏈跟蹤相結(jié)合，通過網(wǎng)絡(luò)拓撲、服務(wù)依先進WAF廣泛采用可視分析技術(shù)，從全局視角直觀呈現(xiàn)API安全狀況。一方面，通過地理攻擊分布、流量變化趨勢等安10”“高頻異常時段分析”等多種垂直維度的分析視角，讓一線運維人員迅速聚焦高危API，制定針對性防御策略。某創(chuàng)析海量API日志，再通過有向圖可視化呈現(xiàn)攻擊鏈的時序特征，輔助分析人員快速定位異常根因。更有創(chuàng)新者將機器學(xué)習(xí)無監(jiān)督學(xué)習(xí)在未知威脅檢測中優(yōu)勢凸顯。例如，通過聚類、異常檢測等算法，WAF可從Web訪問日志、系統(tǒng)審計日志等Web攻擊的隱蔽性、連續(xù)性不斷提升，單次請求很難體現(xiàn)首先是單請求層面的微觀流量行為分析。新一代WAF通過提取請求長度、參數(shù)個數(shù)、參數(shù)熵、字符分布等數(shù)十種流量統(tǒng)計特征，利用單類SVM、孤點分析等無監(jiān)督學(xué)習(xí)算法，可實時發(fā)現(xiàn)各類畸形請求，如參數(shù)異常、數(shù)據(jù)包畸更高層次則是用戶行為分析。用戶是Web訪問的主體，溯源攻擊者、畫像威脅都需要對用戶行為進行多維建模。新此外，多層次行為分析也為WAF的自動編排奠定了基礎(chǔ)。一些創(chuàng)新型廠商提出自適應(yīng)安全編排理念，利用強化學(xué)習(xí)第五章部署方式及方案選型建議在選擇云WAF服務(wù)商時，企業(yè)不僅要評估其產(chǎn)品功能的完備性，更要著眼于云原生安全能力的成熟度。一方面，服務(wù)商需具備覆蓋全球的云安全節(jié)點，利用大數(shù)據(jù)和AI技術(shù)首先，對Web應(yīng)用主要部署在內(nèi)網(wǎng)或私有云的客戶，如金融、政府機構(gòu)，出于安全合規(guī)考慮，通常傾向于對安全設(shè)備的物理可控。其次，一些Web應(yīng)用與內(nèi)部核心系統(tǒng)聯(lián)系緊密，需還需配備專業(yè)團隊持續(xù)優(yōu)化安全策略，應(yīng)對不斷變化的攻擊手法。這對技術(shù)和人才儲備提出了較高要求。因此，傳統(tǒng)軟硬隨著數(shù)字化轉(zhuǎn)型的不斷深化，傳統(tǒng)IT系統(tǒng)正加速WAF已難以滿足企業(yè)動態(tài)變化的安全需求。因此，越來越多頭部廠商提出了融合云、管、端的混合WAF部署理念，通過軟件或虛擬化WAF，并統(tǒng)一納入云端管控。這種模式集兩者之此外，云原生WAF通過Sidecar、eBPF等云原生技術(shù)，云原生WAF能夠無侵入地獲取豐富的應(yīng)用上下文信息，并對于業(yè)務(wù)形態(tài)多樣、安全訴求各異的大型企業(yè)而言，混合WAF無疑是構(gòu)建縱深防御體系的最佳選擇。但需要注意的是，要真正發(fā)揮混合WAF的最大價值，還需統(tǒng)籌規(guī)劃多云與混合云架構(gòu)，因地制宜設(shè)計云邊端的部署方案。同時，混合WAF涉及的組件、節(jié)點較多，要理清責(zé)任邊界，建立統(tǒng)一的管理策略和流程，并打造跨為幫助用戶進一步了解廠商當前新一代Web安全解決方案，安全牛采用問卷、廠商訪談和產(chǎn)品演示結(jié)合的方式，對報告將新一代Web安全分為：私有化建設(shè)方案、SaaS化云服務(wù)方案、混合部署方案三類。從方案提供商的數(shù)量來看，私?私有化部署方案提供商指以硬件、軟件、虛擬化方式交付為主的廠商。代表性廠商有：綠盟科技、長亭科技、瑞云計算資源背景和軟件集成能力的云安全服務(wù)提供商中。從營收占比來看，調(diào)研顯示，云安全服務(wù)商的市場份額已經(jīng)占到由于新Web安全能力增加和場景多樣化需求的擴展，廠商基于各自的市場特產(chǎn)品重構(gòu)。重構(gòu)后的產(chǎn)品特點主要表現(xiàn)在兩個方面：一是能力上破除了單一的規(guī)則檢測模式，開始基于多樣化檢測技術(shù)為計思路，將不同的檢測能力從傳統(tǒng)的架構(gòu)中解放出來，能基于場景更好地靈活組合，進一步為“大安全”聯(lián)動防御提供了（三）云計算和信創(chuàng)，是當前場景化應(yīng)用的兩個重點方向。首先，廠商在產(chǎn)品交付方式上，進行了多樣化適配。傳統(tǒng)硬件、軟件的單體交付方式外，大部分廠商都可以提供虛擬化鏡像適配云計算環(huán)境。部分廠商基于云用戶對云資源的除云原生環(huán)境適配外，在國家全面信創(chuàng)目標的推動下，Web安全產(chǎn)品也正（四）Web安全防護也愈發(fā)智能化，主動防御、Bot防護、API安全應(yīng)用逐漸廣泛。調(diào)研中整體來看，我國當前已經(jīng)處于一個本地數(shù)據(jù)中心、云原生、多云混合，并且深受特色國情影響的復(fù)雜的網(wǎng)絡(luò)環(huán)境中，5.3年度代表性廠商及能力介紹（按簡稱盡管5.2章節(jié)根據(jù)方案部署特點對廠商進行了分類，但在選擇方案供應(yīng)商時，安全牛還是建議用戶要基于企業(yè)自身的■企業(yè)介紹安天科技集團股份有限公司（簡稱“安天”）成立于2000年，公司致力于全面提升客戶的網(wǎng)絡(luò)安全防御能力，有效應(yīng)對安全威脅。通過20余年自主研發(fā)積累，安天形成了威脅檢測引擎、高級威脅對抗、大規(guī)模威脅自動化分析等多方面■方案說明檢測、業(yè)務(wù)威脅評估、業(yè)務(wù)大數(shù)據(jù)分析和API安全防護于一體的綜合業(yè)務(wù)安全防護產(chǎn)品。通過對業(yè)務(wù)進行分析、對用戶進■綜合評價■企業(yè)介紹北京長亭科技有限公司（簡稱“長亭科技”）成立于2014年，是一家堅持以創(chuàng)新技術(shù)為導(dǎo)向，以智能攻防能力為核心的新生代網(wǎng)絡(luò)安全企業(yè)。2015年在WEB安全領(lǐng)域全球首發(fā)提出了語義分析技術(shù)，顛覆了傳統(tǒng)基于規(guī)則的訪問平臺、攻擊面管理運營平臺、主機安全管理平臺、偽裝欺騙系統(tǒng)、安全大模型等產(chǎn)品為核心的新一代安全防護體系。基于■方案說明零日漏洞天然防護等特性，采用多級熔斷和高可用相結(jié)合的手段保障業(yè)務(wù)連續(xù)性，聯(lián)動BOT管理、API防護、CC防護、■綜合評價■企業(yè)介紹天翼安全科技有限公司（簡稱“電信安全”）是中國電信集約開展網(wǎng)絡(luò)安全業(yè)務(wù)的科技型、平臺型專業(yè)公司。公司依靠中國電信云網(wǎng)資源，以研發(fā)運營一體化的方式，整合全集團云網(wǎng)、安全、數(shù)據(jù)等優(yōu)勢資源和能力，為內(nèi)外部客戶提供云網(wǎng)安全、數(shù)據(jù)安全、信息安全等各類安全產(chǎn)品和服務(wù)。云堤DDoS安全防護、天翼安全大腦、網(wǎng)站安全專家是公司最主要的三款產(chǎn)品。其中，云堤·抗D是公司的拳頭產(chǎn)品，持續(xù)多年穩(wěn)居行業(yè)榜首；2018年推出云堤·網(wǎng)站安全專家，為企業(yè)用■方案說明云堤·網(wǎng)站安全專家是電信安全的新一代Web安全解決方案，包含云監(jiān)測和云WAF兩部分。該產(chǎn)品依靠中國電信強6)可視：提供全面的數(shù)據(jù)分析報表，業(yè)務(wù)訪問全程可視，告警信息快速豐富，威脅定位精準溯源，滿足各行業(yè)等典型場景包括網(wǎng)站安全監(jiān)測（網(wǎng)站服務(wù)質(zhì)量、安全事件、內(nèi)容的漏洞攻擊防御、Bot防護、CC攻擊防御、API安全、數(shù)據(jù)防泄露等）、IPv6云網(wǎng)關(guān)（暫未完■綜合評價■企業(yè)介紹綠盟科技集團股份有限公司【簡稱“綠盟科技”】成立于2000年4月，是一家致力于漏洞挖掘技術(shù)研究，并能提供優(yōu)秀安全檢查和評估類產(chǎn)品及安全運營服務(wù)的網(wǎng)絡(luò)安全廠商。其中，漏洞掃描能力連續(xù)十幾年在國內(nèi)市場保持領(lǐng)先。在多種應(yīng)用安全能力，并形成了完整的Web安全解決方案。綠盟科技總部上市。在國內(nèi)設(shè)有50余個分支機構(gòu)，現(xiàn)有員工近4000人，其中研發(fā)技術(shù)人員■方案說明綠盟科技的下一代Web安全解決方案包括：產(chǎn)品化解決方案（NGWAF）、系統(tǒng)化解決方案（WAAP方案）兩種。NGWAF是從Web應(yīng)用及API出發(fā)，針對用戶面臨的Web漏洞利用、資源濫用、資源訪問控制等威脅問題，提供包含DDoS防護、Bot流量管理、Web?綠盟Web應(yīng)用防護系統(tǒng)，具備傳統(tǒng)規(guī)則引擎、語義分析引擎、智能檢測引擎、自學(xué)習(xí)引擎、智能補丁引擎、誤?BOT管理網(wǎng)關(guān)，可檢測各種■綜合評價②技術(shù)方面，有較強的自主創(chuàng)新能力，基于④服務(wù)方面，擁有非常高的全國服務(wù)覆蓋能力，以及專業(yè)的售后服務(wù)和專家團隊，能為Web安全落地提供高質(zhì)量的■企業(yè)介紹公司總部位于上海，分支機構(gòu)分布于全國20多個城市，成都、上海和北京分別設(shè)有研發(fā)中心和研發(fā)團隊。目前業(yè)務(wù)■方案說明智能威脅檢測”雙引擎協(xié)同工作機制，提供傳統(tǒng)Web安全防御能力，同時也能有效應(yīng)對新興和快速變化的Bots攻擊、API攻擊和應(yīng)用DDoS攻擊；該方案還結(jié)合可編程對抗和業(yè)務(wù)威脅感知技術(shù)，提供對企業(yè)Web、?Web應(yīng)用協(xié)同防護大幅提升對欺詐來源的識別及追蹤能力，掌控攻擊全貌，建立對抗網(wǎng)絡(luò)空間威脅的全方位立防數(shù)據(jù)遍歷、防拖庫）、賬號安全（防撞庫、防暴力破解、防批量注冊、防短信轟炸）、交易欺詐（防虛假交易、防交易■綜合評價■企業(yè)介紹產(chǎn)品覆蓋基礎(chǔ)設(shè)施安全、云安全、數(shù)據(jù)安全、應(yīng)用安全多個領(lǐng)域，2019年9月登陸科創(chuàng)板上市。2019年起，公■方案說明于StoneOS可以與Intel、海光、飛騰、兆芯等國內(nèi)外硬件平臺實現(xiàn)深度適配，充分發(fā)揮硬件平臺多核并行處理的能力?！鼍C合評價③產(chǎn)品開發(fā)是自主研發(fā)的操作系統(tǒng)，可移植性受限，但系統(tǒng)安全性會更好些。功能上，在新一代WAF功能基礎(chǔ)上，進一步集成了重保等國內(nèi)特色功能，并結(jié)合自研的漏掃能力和虛擬補丁提升■企業(yè)介紹■方案說明入了風(fēng)險管理理念，從事前風(fēng)險發(fā)現(xiàn)、事中防護，到事后持續(xù)運營，全面管控各類安全風(fēng)險，為用戶提供業(yè)務(wù)全生命周期■綜合評價②在傳統(tǒng)Web防護基礎(chǔ)上持續(xù)構(gòu)建了API、數(shù)據(jù)安全等全站防護能力，并結(jié)合全站防護能力進一步構(gòu)建了風(fēng)險閉環(huán)④服務(wù)方面，擁有云運營和云服務(wù)的成功經(jīng)驗，■企業(yè)介紹新華三信息安全技術(shù)有限公司（簡稱“新華三信息安全”）是新華三技術(shù)有限公司的全資子公司，成立于2017年，如應(yīng)用交付安全網(wǎng)關(guān)、Web應(yīng)用防火墻、網(wǎng)頁防篡改、網(wǎng)站安全監(jiān)測、高級威脅分析與溯源系統(tǒng)等等。公司總部基地位于合肥，在合肥、杭州、北京三地設(shè)有研發(fā)中心，分支機構(gòu)覆蓋全國。目前公司總部人員規(guī)模在1500人以上，研發(fā)投入■方案說明H3CSecPathW2000Web應(yīng)用防火墻是新華三信息安全在多年的安全研究沉淀和服務(wù)實踐經(jīng)驗的基礎(chǔ)上開發(fā)的應(yīng)用安全產(chǎn)品。該產(chǎn)品專注于Web應(yīng)用自身的漏洞，對面向Web應(yīng)用系統(tǒng)的攻擊進行防御，同時提供了SSL加速、抗TOP10的攻擊，在保障檢測效率的同時保障檢測速度2）通過動態(tài)令牌加人機識別等方式進行Bot機器人流量防護；（3）支持針對Web中間件信息、數(shù)據(jù)庫信息、代碼錯誤信息、非法不合規(guī)的敏感詞信息、用等攻擊6）支持通過外聯(lián)攻擊檢測來監(jiān)測Web服務(wù)器外聯(lián)情況，實現(xiàn)用戶第一時間感知服務(wù)器異常7）支持數(shù)據(jù)；（■綜合評價①企業(yè)擁有創(chuàng)新開放的生態(tài)建設(shè)，良好的品②技術(shù)上，有優(yōu)秀的研發(fā)團隊，較強的前沿技術(shù)研發(fā)和解決方案創(chuàng)新能力，以及多維度、多層級的深度Web安全防■企業(yè)介紹云盾智慧安全科技有限公司2019年由中國聯(lián)通與奇安信共同出資成立。公司以云安全、大數(shù)據(jù)分析與運營、安全服務(wù)為突破點，充分發(fā)揮中國聯(lián)通網(wǎng)絡(luò)優(yōu)勢和奇安信安全產(chǎn)品與技術(shù)優(yōu)勢，為客戶提供更為精準、高效的安全產(chǎn)品、服務(wù)及解決方案。目前，布局有云端防護、云安全管理平■方案說明慧御網(wǎng)站安全云防護系統(tǒng)是該公司為各行各業(yè)的網(wǎng)站系統(tǒng)推出的網(wǎng)站安全綜合防護解決方案級產(chǎn)品。方案根據(jù)網(wǎng)站的蟲防護能力、API防護能力、CDN加速能力、安全運營能力以及統(tǒng)一的配置管理綜合到慧御安全防護體系中，為用戶網(wǎng)站■綜合評價①注重產(chǎn)學(xué)研聯(lián)動，在云防護市場有較好的品牌⑤服務(wù)方面，擁有完善的應(yīng)急響應(yīng)處置流程，強調(diào)服務(wù)■企業(yè)介紹北京知道創(chuàng)宇信息技術(shù)股份有限公司（簡稱“知道創(chuàng)宇”）創(chuàng)立于2007年，是一家立足攻防一線，擁有較強“實戰(zhàn)對抗”能力的網(wǎng)絡(luò)安全企業(yè)。公司基于攻防領(lǐng)域的知識積累結(jié)合“AI+安全大全面賦能旗下云防御、云監(jiān)測、云測繪等產(chǎn)品與服務(wù)。其中，知道創(chuàng)宇云防御平臺是該公司面向邊界攻防對抗場景推出的SaaS化邊界防護解決方案，也是公司W(wǎng)e界安全服務(wù)。公司總部位于北京，在北京、成都、武漢設(shè)有三大技術(shù)中心，全國設(shè)有數(shù)十個分公司和辦事處。目前公司人■方案說明知道創(chuàng)宇云防御平臺是該公司基于“AI+安全大數(shù)據(jù)”面向邊界攻防對抗場景推出的SaaS化邊界防護解決方案，包隨著多云、混合云業(yè)務(wù)的發(fā)展，為滿足用戶本地與多云防護需求，?本地防御方案，指以創(chuàng)宇盾X作為云WAF創(chuàng)宇盾的本地版本，私有化部署于企業(yè)的IDC、私有云，并成熟適配?混合防御方案，指同時采用云防御SaaS服務(wù)和本地創(chuàng)宇盾X接入?；旌辖尤肽Ｊ较?，云防御SaaS服務(wù)作為第火墻、CC攻擊防護、大數(shù)據(jù)協(xié)同防御、站鎖防構(gòu)建可持續(xù)進化的實戰(zhàn)防御體系，打破安全防護孤島化、碎片化態(tài)勢。能夠有效解決數(shù)據(jù)傳輸泄露、業(yè)務(wù)彈性大、安全策■綜合評價②技術(shù)上，結(jié)合了云防平臺和云防大數(shù)據(jù)能力，創(chuàng)新性提出了本地和云防混合防御的Web安全方案，提升了本地及④服務(wù)方面，基于云防業(yè)務(wù)體系擁有較好的應(yīng)在數(shù)字化轉(zhuǎn)型浪潮下，銀行的業(yè)務(wù)發(fā)展越來越依賴于Web應(yīng)用。隨著云計算、大數(shù)據(jù)和人工智能等技術(shù)的融合，Web應(yīng)用的功能和復(fù)雜性不斷提升，應(yīng)用場景也越來越廣泛，帶來越來越頻繁和復(fù)雜的網(wǎng)絡(luò)安全、數(shù)據(jù)安全挑戰(zhàn)。各類某國有大型商業(yè)銀行是國家副部級單位，主要經(jīng)營領(lǐng)域包括公司銀行業(yè)務(wù)、個人銀行業(yè)務(wù)和資金業(yè)務(wù)，在多個國家和地區(qū)設(shè)有分支機構(gòu)及子公司，擁有基金、租賃、信托、人壽、財險、投行、期貨、養(yǎng)老金等多個子公司。該銀行擁有大量核心Web業(yè)務(wù)，面對日益頻繁和多樣化的Web攻擊，該銀行亟須進一步建設(shè)和完善Web業(yè)務(wù)系統(tǒng)的安全防護體系。項例如：分布SQL注入、命令執(zhí)行、Web應(yīng)用漏洞攻擊、目錄遍歷、Web插件漏（4）不改變源IP地址。為確保WAF轉(zhuǎn)發(fā)流第一階段：基于反向代理進行WAF資源池化部署，實現(xiàn)彈性擴容。一方面，保障在新業(yè)務(wù)上線或舊業(yè)務(wù)擴增時，實），通過集中管理平臺E