谈到waf,应该也是一个老生常谈到事情。但一千多的WAF预算你见过吗?
目前基本上是云waf,硬件waf,开源waf,自研waf这几种,但是从目前的降本增效背景下来看,云WAF有两种,要么按子域名个数来,成本不低。要么就是便宜些的云WAF,企业量不大,可以无限域名,相比第一种价格便宜些。硬件WAF一个设备也基本上十几万,性能也容易到瓶颈,价格也不低,自研的就更不用说了。剩下到就是使用开源WAF。目前市场上开源的WAF也有一些产品,我目前搭建的是长亭的雷池WAF。
之前用云waf或者硬件waf搭建的防御方案,其实现在想想还是有很多不足。
云WAF只是用外网的防御,硬件waf只是做访问量小一些的站点防御。这种部署应该也很常见,部署下来,费用也不低,效果一般。其实WAF防御只是安全防御中得一环,能做到网站得流量攻击拦截,自定义规则拦截,就已经是到位了。
当然也会有其他类似风控需求,API安全需求,但其实自定义规则基本上都可以满足的,基于这样得目标背景,其实开源WAF也是可以达到。所以上面说这么多也是为了承上启下。
本次基于外网,内网,VPN网络进行WAF防御策略,首先需要对资产进行分类,哪些是在本地机房的,哪些是在托管机房,哪些资产是有负载均衡的,哪些是有多次代理的。
资产分类好了后,就部署四套免费的雷池社区waf和一套专业版的雷池waf,也可以直接部署五套社区版雷池WAF。这里主要区别的是因为有些K8S环境需用负载均衡,社区版的雷池waf是不支持的,因此可以考虑专业版的雷池WAF,也就是一年1799,相比云还有硬件WAF,确实便宜很多了。
这里其实考虑的还有一个原因,正如上面说的,想要防御内外网,VPN网络场景下的,云waf和硬件waf相比雷池waf来说,性价比不高,也难覆盖全面,五套雷池waf防御的资产分为,本地外网资产,托管机房负载均衡资产,非负载均衡资产,本地内网资产,托管机房内网资产。
整体下来,也就是在费用上降低了很多,一年一千多,或者全用免费的。但是这里还需要人力的运营WAF管理,策略设置,需要贴合资产的业务场景,攻击对抗强弱场景。基本上中小企业或者分公司资产部署也是不错的。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/75944.html
