Struts2 S2-032让安全的江湖又掀起了一阵腥风血雨，很多网站纷纷中招，被黑客入侵造成了各种重大损失。从历史 Struts2 漏洞爆发数据看，此前每次漏洞公布都深度影响到了政府、银行、证券、保险等行业，这次也不例外。网站的Web安全一直是一个大众密切关注的方向，接下来我们聊聊这个话题。

超过半数的网站Web应用数据遭受泄露、造成重大财务损失；

企业网站安全事件频发、遭黑客勒索与竞争对手恶意攻击；

越来越多的网站开始将业务接入到云计算服务中、充分利用云的计算优势和便利；

网站的管理者都开始关注网站安全，会使用安全产品进行防护。

企业面临的挑战

每天曝光的Web漏洞、危害性大、影响面广，如何保持实时的更新？

不断的收到大量的安全告警日志、但不知如何下手？

被第三方漏洞平台曝光网站安全隐患，防不胜防？

海量肉鸡攻击下网站的页面显示很慢甚至无法打开、无能为力？

攻击从传统Web攻击跨越到业务场景、如撞库、抓取数据、短信接口滥用等，束手无策？

解决方案

WAF(Web应用防火墙)作为一款成熟的网站防护产品、已成为企业为Web应用提供安全防护的必备利器。它能够抵御定向的Web技术攻击、部分业务逻辑攻击以及海量肉鸡的恶意访问。通过对Web应用的深入解析和检测， 能够阻拦SQL注入、跨站脚本攻击，阻止恶意扫描等常见Web攻击并提供修补漏洞的能力。

云安全下的新特性

WAF作为一款传统的安全防护产品，已经发展多年。但近年来，随着云计算市场的火热，WAF有了一种新的接入方式：云部署。通过简单的DNS记录变更，将流量引入到云端防护集群，经过安全防护检测后，将安全流量回源到服务器。相比于传统的防护手段，它有如下特点：

产品+数据+运营，三位一体综合、实现最佳防护效果。传统的安全防护模式仅是提供形形色色的产品。但绝不仅仅是买了个安全产品就搞定了一切。安全是需要不断的大数据分析模型、自适应的调整防护策略应对不断变化的安全趋势；需要不断的对产品进行精细化的运营。阿里云在数据和运营上有着先天的巨大优势，客户要做的，就是关于自身业务，安全交给我们。

零部署、零安装、五分钟接入、快速稳定。仅需简单的变更、无需繁琐的机房布线、机器上架等操作、即可快速享受安全防护。同时多集群部署保障业务稳定不受影响。

实时防护0day漏洞。云上安全专家实时监控、针对漏洞的防护规则云端瞬时下发、无需传统模式下的复杂升级流程。

防护能力自动扩展、与云上网站共享。云上用户包括淘宝、支付宝等生成的防护规则，百万级的恶意IP信誉库、恶意样本等，均自动覆盖到您的网站。

集群弹性扩容、轻松应对海量业务下的防护。传统的防护模式、很难满足业务突增(如秒杀促销活动)、海量肉鸡攻击的场景，而云计算时代下的弹性扩容及大数据学习能力、将这些不可能都变成了过去。

在业务上，结合反欺诈、风控、人机识别等相关技术，在不修改应用代码的情况下，完美的实现防撞库、防爬防抓、接口滥用等业务防护需求；在产品的结合上，无论是和CDN的联动打造安全的加速流量，还是和云解析的一键开通，无缝融合、满足用户业务的各种使用场景。

云WAF发展的新道路

诚然，曾经的云WAF也有被人诟病之处，比如说攻击者可以绕过WAF直接访问源站地址进行定向攻击；业务误漏报后、不能很好的支持网站的规则自定义；数据的隐私泄露，HTTPS业务下私钥的安全性等。但经过这几年技术的发展，这些都变成了历史，不再是云WAF的弱点、取而代之的是下面的变革：

合规。积极的完成PCI-DSS认证需求，满足企业对数据安全性的要求。针对数据库的注入抓取等非授权行为做到安全防护，避免数据泄露。针对企业对HTTPS业务下的私钥安全顾虑，推出Keysafe方案，无需上传私钥，同时支持对加密流量的安全防护。

严密。针对以往的指定源站IP进行定向攻击绕过、一方面可在源站服务器上做安全准入控制、只允许云WAF的IP访问，其余定向的访问一律禁止；另一方面将站点流量全部置身于云WAF的防护中、实现网站的隐身，避免真实地址的暴露。

省心。充分利用云计算的大数据优势、建立起网站的正常模型。能够清晰的梳理出网站的正常业务请求模型、让0day漏洞无从绕过，正常的业务请求不被误阻断。网站接入初期开启预警模式、保障线上业务的正常运行、在最短时间内让网站维护者清晰的清楚业务误漏报概况。

全面。高性能SSL支持，数据链路加密。防护能力更多的覆盖到如撞库、接口滥用、业务欺诈、风控识别等业务场景中。

贴心。针对站点、URL等定制各种精细化的防护策略；提供友好可自定义的出错、拦截页面；给予网站用户最好的使用体验。一切皆可定制，打造成你自己想要的那一个。

对于数据隐私要求性非常高的金融行业，WAF是必备的防护利器。阿里云WAF除了支持云内客户的网站安全防护，也支持云外客户的安全需求，通过DNS切换轻松一键接入。除此之外、阿里云安全为金融行业还可以提供各类安全服务（如白盒测试、黑盒测试、渗透测试、移动应用测试等），全力为客户打造安全的解决方案。
本文转自d1net（转载）