过去企业通常会采用防火墙，作为安全保障的第一道防线。当时的防火墙只是在第三层(网络层)有效的阻断一些数据包，而随着web应用的功能越来越丰富的时候，Web服务器因为其强大的计算能力，处理性能，蕴含较高的价值，成为主要的被攻击目标(第五层应用层)。而服务器监控时，传统防火墙在阻止利用应用程序漏洞进行的攻击方面，却没有办法。在此背景下，waf(Web Application Firewall)应运而生。

阿里云waf和防火墙：https://www.hkt4.com/

WAF和防火墙的区别：

waf称为web应用防火墙，是通过执行一系列针对HTTP,HTTPS的安全策略，来专门对web应用，提供保护的一款产品。WAF初期是基于规则防护的防护设备;基于规则的防护，可以提供各种web应用的安全规则，waf生产商去维护这个规则库，并实时为其更新，用户按照这些规则，可以对应用进行全方面的保护。

但随着攻防双方的不断过招，攻击者也摸清了，这一套传统的防御体系，随着使用各种各样的绕过技巧，打破了这套防线，同上这套防护思路，还有一个天生的缺陷，就是难以拦截未知的攻击。因此技术的革新也是必然的。在这几年WAF领域出现了很多新的技术，譬如通过数据建模学习企业自身业务，从而阻拦与其业务特征不匹配的请求;或者使用智能语音分析引擎，从语音本质去了解。无论是用已知漏洞攻击利用程序，还是未知攻击，都可以精准的识别。

个人和中小企业站点是否需要WAF?

在网络安全法规范中：单位或个人建立、运营网站，则有义务保证网站运行正常。如果网站被攻击、被入侵，散播出不良言论、带来不良影响、或网站以不良形象示人。那么可能会给国家、社会或他人，带来不良影响。如果发生此种情况，相关单位、责任人需承担相应的法律责任。

可想而知，网站不做防护，违法了、后果很严重：相关负责人可能会被罚款、处罚，相关企业可能被停业、吊销营业执照。这还不考虑网站防护的真实需求，只是从法律法规层面来看而已。可能很多人不以为然，侥幸心理使然，认为只是个规定而已，不会查到自己头上。

是吗?不!国家是认真的，各地已相继展开等保核查工作，公安、网安已经出动。也就是说：无论是出于真实的安全需求、保护网站安全，还是为了符合法律要求，做为网站的运营者，都必须要满足等保要求、都必须给网站做安全防护了。

没有WAF的IDC会怎么样?

坦言：会相当被动。以往，没有等保要求的情况下，很多客户是不在意安全问题的，许多小中企业只是架个企业静态官网，做什么安防呢，没那资金预算，也不在意安全问题：被黑了、网站被改了、挂马了?大不了重上传一下网站，无所谓的事。

但现在不一样了，如前文所述，如果发现上述问题，问题就大了。举例而言：就算是个小网站，没有太多的数据、太多的敏感信息，如果网站被修改，网页出现了不良言论、不法言论、不实消息、色情等等，在公安、网安的视角：会造成不良的社会影响、甚至对国家造成负面影响等。

如是大网站，数据泄露、敏感信息流出，更是非常严重的问题，谁知是不是境外势力的故意渗透、谁知道会被获取什么信息、谁知道数据会被用于什么方面：钓鱼?电信诈骗……所以为防患于未然，网络安全法、等保要求：网站防护，必须的!若不执行，就是公安、网安上门。

那网站服务器如何添加防护呢?

当然是上WAF(WEB应用防火墙：Web Application Firewall)。如何上WAF?WAF有三种：软件、云、硬件。

1、硬件WAF：就是买台硬件WAF，接在自己的WEB服务器之前。但一般中小企业、个人是没有自己的服务器的，都是用IDC的云服务器、虚拟主机，这里就不多讲了，不是本文主题。

2、软件WAF：就是自己在服务器上部署软件WAF，需要自己动手丰衣足食。

3、云WAF：就是用IDC(云服务器、虚拟主机的提供方)的云WAF功能或平台。

IDC与云WAF密切相关，国内绝大多数的网站运营者，都使用IDC提供的网站服务。国内外大大小小的IDC有数百家。客户选择其WEB服务后，可以方便的使用其提供的云WAF，满足真实防护需求和等保要求(不考虑价格因素的情况下，如不愿意承受其高价格，也可自己部署软件WAF，如：ShareWAF)。

但更多的IDC是价格更为实惠的区域性的中小IDC。这些IDC通常是没有WAF功能的，究其原因：很多IDC是代理商，没有太多技术实力，更别说门槛很高的WAF产品研发能力，所以无法提供WAF功能，再一个重要原因：还未有足够的认识和重视。

在这种情况之下，客户对自身网站的防护需求，是真实的，是刚需。如果服务器供应商不能提供WAF功能或云WAF，客户怎么办?

方案1、自己部署WAF，自己维护;问题：有技术要求，不是所有客户都有技术人员。

方案2、接入其它IDC的云WAF;问题：非同一IDC的服务，会给访问速度带来严重影响，维护也麻烦。客户：我为什么不选择那家有WAF服务的IDC?迁移。

方案3、不防了，裸奔算了。问题：客户会顾虑重重，说不定哪天就被网安查了，要么，干脆不要这站了。

以上，如果不提供WAF，IDC会相当被动，将面临：已有客户流失，未来客户越来越少，甚至无法生存下去。

所以，IDC必须有WAF!如何才能有呢?

自研，只适合有技术实力、有安全知识储备的IDC。而且WAF领域，门槛较高，需要足够的技术储备和不短的开发测试周期。收购WAF，资金充足产的IDC可以尝试收购成熟的WAF产品，以金钱换时间，一步到位。

合作，跟国内的WAF方合作，由WAF方提供产品(或OEM)或技术支持。

总结，网络安全就是国家安全，网络的主体是网站，网站安全了，网络就安全了!这是国家层面的策略。做为网络环境的极重要一环：IDC，提供安全，理情之中。这或许会是IDC行业洗牌的开始，是风险，也是机遇。

上一篇：2024年IDC数据中心7大发展方向
下一篇：“免备案cdn”如何使用国内节点加速？