如今，电子政务、电子商务、网上银行、网上营业厅等依托Web应用，为广大用户提供灵活多样的服务。在这之中，流量攻击堪称是Web应用的最大敌人，黑客通过流量攻击获取利益、竞争对手雇佣黑客发起恶意攻击、不法分子通过流量攻击瘫痪目标后勒索高额保护费，往往会对业务造成严重损害。

对于开发者和企业网站管理人员来说，数据爬取、暴力破解和撞库等Web攻击手段日益复杂，均需要建立强大且实时的防御能力，避免业务乃至企业因防护脆弱“失血过多”而死。部署WAF成为公认的最基础且有效的防御手段，但由于攻击手段的多样化和企业业务的复杂性，传统的本地部署WAF已经越来越难以发挥预想的防御效果。

云WAF恰恰能够解决本地部署WAF的缺陷，成为大量中小型企业以及个人网站的新选择。云WAF部署简单、维护成本低，无需安装任何软件或者部署任何硬件设备即可将网站部署到云WAF的防护范围之内。云WAF的防护规则都处于云端，新漏洞爆发时，由云端负责规则的更新和维护，用户无需担心因为疏忽导致受到新型的漏洞攻击。

在日常的部署中，网站负责人员如何选择与自身业务属性和发展规划匹配的云WAF产品？如何确保其能够为现阶段业务提供高可用的产品与服务？又如何为未来业务发展中安全防护的持续性和可扩展性做好冗余？

腾讯安全联合CSDN、云+社区打造的「产业安全专家谈」迎来第九期，今天我们邀请到腾讯云应用安全专家刘吉赟，与大家分享在云WAF产品选择、部署和使用过程中的实战经验。

刘吉赟，腾讯安全 WAF研发负责人。近十年安全研发经验和应用安全攻防实战经验，主导了多个网络安全防御产品的研发，构建了腾讯新一代云WAF防御体系。

Q：如今Web应用安全依然是互联网安全的最大威胁来源之一，Web应用安全目前的新局面是什么，企业需要面对怎样的新挑战？

刘吉赟：目前的Web应用逐步API化，除了传统的Web攻击，API的安全问题、网络中的机器人流量的问题也日趋严重，Web应用安全从传统的SQL、XSS防护等，逐步开始向API安全，Bot机器人行为防护等防护技术过渡。

在Web攻防实战中最受关注的有四种攻击方式：一是植入webshell，控制管理后台然后拖库；二是Web内容被恶意替换成违法违规的图片和文字；三是挂入黄赌网页、私服或跳转页面等倒量引流；四是竞品发动DDoS攻击致使业务瘫痪。

攻击技术、漏洞披露等日趋成熟，特别是针对Web安全相关漏洞的利用日趋产业化，企业需要更加重视如何在安全运营中进行快速响应，构建与之适应的安全运营体系。企业首先应该做好自查，全面完整的自我了解是企业实现Web应用安全防护的基础。同时，更应该尝试和接纳新兴技术，以显著提高对新型威胁和未知威胁的检测、防御效果。

Q：电商行业是网络攻击的高发行业，针对电商的常见攻击手段有哪些？

刘吉赟：一种是典型CC攻击，这是一种针对网页的攻击，原理是模拟多个用户正常访问目标网站，例如制造大量后台数据库的查询动作占用正常请求资源。“鸡贼”之处在于，这种“访问”本身属于正常请求，但当这种“正常请求”达到一定程度的时候，服务器就会反应不过来直到宕机，也就是App会出现反应慢、账号登录不成功、无法下单、白屏等现象。这也是为什么每次购物节当大家忙着剁手的时候，各大电商的机房灯火通明，程序员软件硬件都用上外加紧张观察，就是怕服务器崩掉了带来惨重损失。

CC攻击往往只是敌人的先行兵，更可怕的是后续可能会出现的慢BOT攻击。这种战术更有耐心且隐蔽，敌人会仔细侦查对外开放的每一个接口，对开销较大的接口，以较慢的速度长时间“挂”在你家的网上，消耗大量资源。黑产可能会肆无忌惮地使用注册软件和随时号码反复调用接口，同时发动羊毛党把调用次数进行几何级放大，像一群虎视眈眈又极有耐心的秃鹫，终有一天你会扛不住，那就是黑产啄食的时机。这样对网站的损伤也非常大。

在某电商平台促销季的一场攻防战中，黑产通过四条“小路”发起猛攻，首先是狂刷用户行为采集的接口，频率高达300-400次每秒，这个接口主要是记录用户访问APP的行为，再写入数据库；二是瞄准APP版本检查接口，也就是模仿一个过分焦虑的强迫症者，一遍遍刷新查询版本有没有更新，每天超过几百万次，导致APP带宽被恶意消耗掉；三和四分别是查看商品库存和查看购物车，派机器人一遍遍去看商品还剩多少、购物车里有啥，让数据库读写高到爆满。

Q：能够分享一个实战中遇到的典型攻击案例以及应对的策略？

刘吉赟：去年10月，某旅游网站被爆全网站2100万条“真实点评”中有85%的评论是通过爬虫 Bot 机器人程序从竞争对手平台抄袭而来，“点评抄袭造假”的舆论风波一时骤起，使网站深陷质疑；同年2月，某视频网站遭遇大量原创内容和用户数据被非法网络爬虫盗取侵权；航空公司遭爬虫恶意低价抢票等事件层出不穷，无一不在挑战着各行业网站业务的安全防线。

近期有一家知名的电商遭遇了竞争对手的CC攻击，流量非常大，攻击手法也很罕见。黑产通过短信炸弹发动攻击，短信网关并发量突然超过平时的十倍，造成企业为短信接口的滥用付出了巨额“通道费”。

腾讯云WAF第一时间对遭受攻击的短信接口做了“前刹车”防护，也就是设置了CC防护的规则，把对短信接口访问上限定为每分钟150次，超过这个阈值的IP，腾讯云WAF会根据算法第一时间判断究竟是真人还是机器访问，被判断为机器的IP将会被封禁访问，这也是腾讯云WAF自带可选的惩罚机制。同时， BOT管理功能启用，使用BOT行为管理进行安全策略定制，将每个用户每天访问短信端口次数超20次以上的会话统统拦截，相当于开启了“后刹车”。在整个防护过程中，我们帮助客户通过行为分析和对具体业务场景设置动态防护策略，在不断对抗过程中，摸清黑产的攻击策略，将其置之死地。同时帮助客户梳理清楚业务逻辑，为业务调整优化提供依据，这就是腾讯云WAF使用策略中的三道防线。

腾讯安全WAF的架构

Q：如何准确的识别BOT流量，既确保业务正常运转，又避免恶意BOT流量对业务造成威胁？

刘吉赟：传统上用于检测和防护恶意BOT流量的访问频率限制、IP黑名单设置、CAPTCHA验证人类用户等方法和规则已无法有效应对不断升级的威胁形势。而从BOT实际运作的模式不难看出，BOT（机器人行为）访问流量的好坏实际是由实际操控者所决定。如何对网站访问的BOT流量进行有效行为甄别与安全管理，成为各行业开展线上业务共同面临的安全挑战，是全网发力破解的重要痛点之一。

针对BOT行为友好与恶意杂糅并存的特征，企业在防御恶意BOT流量访问与攻击时，不应采用“一刀切”简单方式进行封堵，而应在精准区分BOT程序和人类访问流量、友好BOT和恶意BOT流量的基础上，形成差异化响应策略，助力企业真正实现高效防护恶意BOT流量攻击的目标，继而夯实全网Web安全线。

基于“精准流量监测技术是解决恶意BOT攻击识别问题关键”的基本思路，腾讯云WAF上线了基于“规则+AI”双引擎，打造的BOT行为管理解决方案，可帮助企业有效甄别友好及恶意机器⼈程序并采取针对性流量管理策略。策略思路方面，该方案主张采用温和管理而非直接杜绝的策略，以在保障友好BOT运行的前提下，确保风险管控响应的精准性。

腾讯安全WAF负载均衡WAF的两个工作模式

Q：SaaS模式的WEB应用安全产品有何优势？应当如何针对企业规模做出选择？

刘吉赟：SaaS模式的WEB应用安全产品凭借其便捷的应用部署、灵活的订阅方式、强大的可扩展性、轻量的运维负担等诸多优势，越来越普遍地被企业级客户，尤其是网络运维人员紧缺、安全预算有限或业务变化较快的中小型企业所接受，成为企业构建业务安全防护体系时的一项重要选择。

国内主要公有云和私有云服务提供商均为租户提供了全面的云原生安全防护产品，用户可以很便利地按需订阅符合自身业务需求的Web应用安全产品。同时，在公有云/私有云平台的云市场中也提供了第三方安全厂商专为云平台打造的虚拟化Web应用安全产品，企业用户可以灵活选择信赖的品牌产品，以实现云端业务的全面安全保护。

Q：是否能够预见一下潜在的技术趋势以及行业变化对于网络安全带来的影响？

刘吉赟：这里和大家简要分析两点：

首先是产业互联网时代企业上云，对安全能力带来的全新需要。在构建云安全防御体系时，利用云服务商提供的一整套安全解决方案和推荐产品，更快捷，更加系统地构建自己的防御体系；减少利用非原生安全产品造成的架构复杂、安全数据无法共享、运营成本高等问题。同时利用云原生的基本安全能力和最新安全技术能力,构建主动防御体系，如利用基础DDoS、安全组、IPv6转换、VPC Peer等构建可靠的网络体系，利用AI技术、威胁情报、API安全、账号安全体系等，搭建更符合云上应用的安全运营系统。

其次是5G可能带来的影响。5G网络的普及可能会极大的扩展应用的边界和形态，包括从TOC向TOB的发展，边缘计算的兴起等等。另外可能5G应用的场景的多样化，客户对安全的需求也会大幅增加。在未来，我们可能很难通过标准的产品来满足客户的安全需求，这里面可能就需要客户来自己通过开放的平台来编程实现自己的功能，整体上就是产品去和边缘计算去做结合，然后实现用户可编程的安全。