傳統(tǒng)的安全建設(shè)思路，要求將網(wǎng)絡(luò)按照安全等級(jí)劃分，形成不同屬性的安全域，如外網(wǎng)接入域、核心交換域、對(duì)外發(fā)布域、辦公終端域及安全管理域等，并基于各個(gè)安全域的安全等級(jí)來制定相應(yīng)的域間隔離與訪問控制策略。

通常根據(jù)不同強(qiáng)度要求的安全策略，所選用和部署的安全產(chǎn)品也會(huì)有針對(duì)性，例如外網(wǎng)接入域的邊界，除了常規(guī)的防火墻之外，還會(huì)選擇DDoS清洗系統(tǒng)、入侵防御系統(tǒng)等；在核心交換域，依據(jù)其流量全面的特點(diǎn)，部署全棧的流量分析和資產(chǎn)治理類系統(tǒng)；在安全管理域，部署集中管理和事件審計(jì)類平臺(tái)；而在對(duì)外發(fā)布域的邊界，則會(huì)選擇更加深入和有針對(duì)性的細(xì)粒度防護(hù)產(chǎn)品，例如Web應(yīng)用防火墻，即WAF產(chǎn)品，也是我們今天討論的重點(diǎn)。

一直以來，WAF作為針對(duì)Web應(yīng)用專項(xiàng)防護(hù)的安全產(chǎn)品，在安全建設(shè)和政策要求當(dāng)中都是必備的安全組件?；谄涮攸c(diǎn)，WAF通常被部署在對(duì)外發(fā)布區(qū)域的邊界，原因主要有以下幾個(gè)方面：

1、WAF的主要防護(hù)目標(biāo)是依托于HTTP/HTTPS協(xié)議的應(yīng)用，如網(wǎng)站、信息系統(tǒng)等；

2、大多數(shù)網(wǎng)站、信息系統(tǒng)等服務(wù)群都會(huì)集中在對(duì)外發(fā)布區(qū)域，方便進(jìn)行訪問控制等；

3、WAF自身的功能定位要求它必須進(jìn)行數(shù)據(jù)包的深度解析，因此流量處理的壓力較大，通常會(huì)避開出口、核心等主干鏈路。

這樣的傳統(tǒng)思路，在網(wǎng)絡(luò)環(huán)境更加復(fù)雜的今天正在面臨嚴(yán)峻的挑戰(zhàn)。首先，內(nèi)網(wǎng)并不安全。內(nèi)部自身的潛在威脅、邊界被繞過后的橫向滲透以及內(nèi)部中招后的非法外聯(lián)，都是實(shí)踐當(dāng)中發(fā)現(xiàn)的真正威脅；其次，邊界開始模糊，新的暴露面不斷增加，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、甚至打印機(jī)和攝像頭都有可訪問的Web入口，并且經(jīng)常暴露在外網(wǎng)當(dāng)中，雖然多數(shù)時(shí)候是無意的誤操作，但它們?cè)静辉趯?duì)外發(fā)布的安全域中，因此成為脆弱的隱患之一。

引入一個(gè)近兩年比較熱的概念——零信任網(wǎng)絡(luò)。“零信任”建立在五個(gè)基本假設(shè)之上：

1、網(wǎng)絡(luò)時(shí)刻處在危險(xiǎn)當(dāng)中；

2、網(wǎng)絡(luò)中始終存在威脅；

3、網(wǎng)絡(luò)的位置不能直接決定其可信程度；

4、所有的設(shè)備、用戶和流量都要經(jīng)過認(rèn)證和授權(quán)；

5、安全策略必須是動(dòng)態(tài)的、靈活調(diào)整的。

這些假設(shè)進(jìn)一步指出了當(dāng)前安全建設(shè)的不足和隱患，當(dāng)然零信任網(wǎng)絡(luò)的核心思路是進(jìn)一步強(qiáng)化訪問控制，即默認(rèn)情況下不信任網(wǎng)絡(luò)內(nèi)部和外部的任何人、設(shè)備或系統(tǒng)，全面進(jìn)行身份認(rèn)證，基于認(rèn)證和授權(quán)來建立訪問控制的信任基礎(chǔ)，并依據(jù)身份和訪問雙方的屬性進(jìn)行細(xì)粒度和動(dòng)態(tài)的權(quán)限分配。零信任網(wǎng)絡(luò)的出發(fā)點(diǎn)是從認(rèn)證的角度解決信任問題，因此衍生出了統(tǒng)一身份管理系統(tǒng)、安全接入網(wǎng)關(guān)等產(chǎn)品。

今天我們換一個(gè)思路，從業(yè)務(wù)防護(hù)的角度出發(fā)，利用WAF的矩陣式部署方案來破解網(wǎng)絡(luò)信任危機(jī)。

RayWAF根據(jù)業(yè)務(wù)自身的不同屬性、防護(hù)需求的不同程度及業(yè)務(wù)路徑的不同節(jié)點(diǎn)，啟用對(duì)應(yīng)防護(hù)粒度的安全模塊，并通過學(xué)習(xí)訪問量的變化，動(dòng)態(tài)調(diào)整等級(jí)模板；最終利用管理中心和各個(gè)防護(hù)節(jié)點(diǎn)的聯(lián)動(dòng)，形成安全矩陣，對(duì)不同信任等級(jí)對(duì)象間的互訪進(jìn)行自適應(yīng)防護(hù)，做到閉環(huán)處理。

RayWAF矩陣式部署方案核心思路

從部署角度來看，矩陣式WAF進(jìn)一步強(qiáng)化了縱深防護(hù)的理念，延展防護(hù)鏈條，使用相應(yīng)的防護(hù)模塊配合對(duì)應(yīng)的部署方式，覆蓋云端、邊界和終端等各個(gè)環(huán)節(jié)。

通過矩陣式的WAF應(yīng)用思路，既可以覆蓋到業(yè)務(wù)訪問的各個(gè)環(huán)節(jié)，又可以適應(yīng)不同場(chǎng)景、不同位置的細(xì)粒度防護(hù)需求，兼顧防護(hù)效果和處理能力，在發(fā)揮WAF效果的同時(shí)，解決用戶網(wǎng)絡(luò)的信任危機(jī)，是符合當(dāng)前需求現(xiàn)狀的有效解決方案。