值不值買之阿裡雲企業版WEB應用防火牆

這次讨論的重點是企業版。

假如有人問我阿裡雲上什麼安全産品最值得買，我的回答通常都是WEB應用防火牆進階版，因為借助于雲防火牆通路控制政策以及免費的安全組規則，雲伺服器的受攻擊面一般隻剩下WEB服務端口，攻擊者就隻能在WEB應用層面下功夫，由此誕生出了五花八門的攻擊手段：SQL注入、XSS（跨站腳本）、CSRF（跨站請求僞造）、CC攻擊，被攻陷的伺服器中十之八九是通過WEB端口被攻入的。和之前介紹的阿裡雲的雲防火牆一樣，阿裡雲的WEB應用防火牆最大的優勢是基于雲和大資料的快速疊代和更新能力，對比傳統硬體盒子WEB應用防火牆，阿裡雲的WEB應用防火牆在提供一流防護效果的同時，還能保證接近零誤殺。

阿裡雲的WEB應用防火牆支援CNAME别名接入，不僅支援阿裡雲伺服器，還支援對IDC或者其他雲伺服器提供防護支援。WEB應用防火牆目前最低的版本是進階版，能夠防護絕大多數常見的WEB攻擊手段，說進階版的WEB應用防火牆值得買應該不會有太多的争議。

這個企業版WEB應用防火牆比進階版貴了一倍還多，并且粗看上去也沒多出什麼功能來，是以非常容易招緻差評進而被忽略。其實在有的人看來，就算是進階版的WEB應用防火牆也未必值得買，就在前兩天我在和一個使用者推薦WEB應用防火牆（當然是進階版）時，得知這位大神竟然計劃自己寫一個WEB應用防火牆……我竟無言以對。

“彼之蜜糖,吾之毒藥”，是以讨論一個産品值不值得買，一個非常重要的因素就是看購買者或者使用者自身的情況。

在我的印象中，購買阿裡雲WEB應用防火牆的使用者大緻有三類：

• 一類是機構客戶，包括政府、大企業、公共事業機關等，這一類客戶通常不太差錢，購買WEB應用防火牆一般基于合規考慮。
• 第二類是網際網路金融客戶，這些使用者雖然有的也差錢，但面臨的監管壓力巨大。
• 第三類是高增長的網際網路行業客戶，競争和增長壓力大，服務中斷是這些使用者所無法承受的。

首先，針對第二類的網際網路金融客戶，有的地區在進行等保測評時就會直接要求部署企業版的WEB應用防火牆，否則會有無法通過等保測評的風險，進而影響獲得市場準入資格，是以針對這一類客戶，企業版的WEB應用防火牆才是最值得買的。

其次，針對第一類的機構客戶，國資委近期下了一個文，要求機構的網站在年底前要實作IPv6通路，通過阿裡雲的IPv6轉換服務和雲解析DNS服務可以很容易的滿足國資委的有關要求。尴尬的是标準版的WEB應用防火牆不支援對IPv6網站提供防護，這也就意味着攻擊者可以通過IPv6

用戶端繞過WEB應用防火牆。

這讓相關負責人如何去和上司解釋……

進階版不支援IPv6，企業版支援，是以針對第二類客戶，企業版的WEB應用防火牆也是最值得買的。

最後，針對第三類的高增長客戶，同行之間的激烈競争常導緻互相之間的惡意攻擊，面對長期的且更有針對性的CC攻擊，進階版WEB應用防火牆所提供的預設CC攻擊防護就不足以應對了，攻擊者進而可以通過CC攻擊大量消耗被攻擊伺服器的資源，進而影響其客戶體驗，企業版WEB應用防火牆提供的自定義CC攻擊則能很好的應對這種威脅。在激烈競争的市場中起步階段一點點的優勢将導緻後期巨大的差異，是以針對這一類的客戶，能夠提供更好業務連續性保障的企業版WEB應用防火牆也是最值得買的。

假如您屬于上面三類客戶，企業版WEB應用防火牆值得買，值得用！