* 本文原创作者:bt0sea,本文属FreeBuf原创奖励计划,未经许可禁止转载
0×00、前言
WAF(Web Application Firewall)对于搞web渗透测试的甲方安全运维工程师、众测平台的白帽子、乙方web渗透工程师、搞黑产的blackhat是个并不陌生的web安全防护手段。在工作中或多或少涉及到这方面的相关知识,那么,从产品的角度上对WAF做竞品分析十分有必要,可以帮助用户更好的理解WAF产品功能,同时,也为WAF厂商指明了研发方向。以下站在安全产品经理的角度上,做的WAF竞品分析,包含:行业现状分析、产品功能分析、交互设计分析、运营及推广策略(偏重PR)。
0×01、行业现状分析
通过行业现状分析,我们可以更好的把握住市场趋势,研究WAF细分领域市场。分析的目标用户,来源于Top 24家互联网金融网站(融资规模大小),原因是,WAF是这部分企业级客户在安全方面的刚性需求。
1.1、调研问卷题目:
(1)IT架构:公有云、IDC机房、自建机房。
(2)调查WAF部署形式:透明代理硬件形式、云WAF、反向代理集群形式、基于主机Agent部署、开源系统自建。
(3)目前你使用WAF的困惑:云WAF数据隐私保护问题、安装在主机上WAF应用程序性能是否影响正常业务、开源自建WAF规则维护成本高。
如果大家有时间,可以帮忙填写一下问卷调查,http://wj.qq.com/s/753888/308e
1.2、调研技术手段:
无论从技术上,还是商业上都是很难获取到ToB产品的企业数量,所以,从技术角度上讲,通过互联网抓取我们想要的数据,自己统计分析。
| WAF类型 | 重点关注厂商 |
|---|---|
| 硬件WAF | nsfocus、imperva |
| 云WAF | 百度安全宝、阿里云盾 |
| 基于主机Agent WAF | 安全狗 |
| 开源WAF | modsecurity |
| 反向代理集群WAF | 由于这块市场目前还没有很牛逼的产品,所以暂时空白。 |
1.3、调研技术原理:
如何确认其WAF特征,我参考了 wafw00f、nmap、sqlmap有关识别WAF的脚本,编辑一个批量扫描的脚本。首先检查是否存在WAF,通过提交xss脚本,查看网站页面特征,如果返回页面异常,证明存在WAF。然后通过脚本判断对应的WAF类型,由于WAF特征也会被人为更改,所以,只能粗略评估部署率。
1.4、结果输出:
(1)WAF部署类型产品占有率
(2)WAF产品市场占有率
备注:详细的原始数据,可以联系文章作者获取。
1.5、结论:
当时看到这样的结论,我也很意外,不过可以看出以下趋势:
(1)重要的互联网金融网站一般不会开WAF阻断模式,除非购买公有云WAF产品。
(2)云WAF在互联网金融业务使用率蛮高。
(3)自建WAF也是互联网金融企业安全团队热衷去做的一件事情。
(4)商业集群WAF软件在崛起,它的直接竞争对手是自建WAF。
(5)只有有钱的主才会买硬件WAF,否则它将退出历史舞台。
(6)很少有企业在商业环境下使用类似**狗这样的免费WAF,不付费就代表着售后没有保证。
0×02、产品功能分析
2.1、产品功能对照表
由于手上资源有限,本章节只分析imperva、nsfocus WAF、天融信WAF产品功能。
| imperva | nsfocus | 天融信 | |
|---|---|---|---|
| 网络层防护 | 应用代理防火墙 网络层特征码(IPS) |
封禁IP管理 网络防护-SYN Flood 网络防护-ACK Flood 网络防护-HTTP Flood 网络防护-慢速攻击 网络防护-ADS(抗D硬件)联动 |
抗 DDoS 网络防护-SYN Flood 网络防护-ACK Flood 网络防护-HTTP Flood 网络防护-慢速攻击 网络防护-http/s CC攻击 |
| WAF基本功能 | 反爬虫 Bot Mitigation Web 特征 Web 蠕虫 Web 应用程序特征码 Web 应用程序自定义 OCSP 协议验证 |
规则库管理-web服务器漏洞 规则库管理-web插件漏洞 规则库管理-爬虫防护 规则库管理-跨站脚本防护 规则库管理-SQL注入防护 规则库管理-LDAP注入防护 规则库管理-SSI指令防护 规则库管理-XPATH注入防护 规则库管理-命令注入防护 规则库管理-路径穿越防护 规则库管理-远程文件包含防护 规则库管理-内容过滤 规则库管理-webshell防护 规则库管理-敏感信息防护 规则库管理-盗链防护 规则库管理-扫描防护 |
规则库-访问控制(URL白名单) 协议合规 文件上传 规则库管理-SQL注入防护 规则库管理-XSS注入防护 规则库管理-目录遍历 规则库管理-LDAP注入防护 规则库管理-SSI指令防护 规则库管理-网页扫描防护 规则库管理-XPATH注入防护 规则库管理-info leak防护 规则库管理-命令注入防护 规则库管理-RFI防护 规则库管理-web服务器漏洞防护 规则库管理-盗链防护 规则库管理-爬虫防护 规则库管理-CSRF策略 |
| WAF特有功能 | 动态特征构建 通用用户跟踪 (UUT) 关联攻击检测(Web&DB) |
自学习功能 | 自学习功能 |
| 威胁情报 | ADC 威胁情报联动 ThreatRadar – ATO Device IDs Black List ThreatRadar – ATO Device IDs White List ThreatRadar – Anonymous Proxies ThreatRadar – Anonymous Proxies White List ThreatRadar – Comment Spam IPs ThreatRadar – Comment Spam IPs White List ThreatRadar – Malicious IPs ThreatRadar – Malicious IPs White List ThreatRadar – Phishing URLs ThreatRadar – Phishing URLs White List ThreatRadar – Privileged User ThreatRadar – SQL Injection IPs ThreatRadar – SQL Injection IPs White List ThreatRadar – Scanner IPs ThreatRadar – Scanner IPs White List ThreatRadar – TOR IPs ThreatRadar – TOR IPs White List ThreatRadar – Trusted Bots |
无 | 无 |
| 外部模块联动 | 风险管理-web服务扫描 风险管理-数据库服务扫描 |
智能补丁-SAAS云扫描(云端漏洞扫描联动) 智能补丁-WVSS扫描(本地漏洞扫描联动) 应用交付-通用防篡改 |
网页防篡改 Web漏洞扫描 |
从功能上看,上述3款产品都是基于正则表达式方式对Web威胁进行防护,针对未知web威胁防护,国内产品还是主要靠升级规则库的方式,国外主要靠威胁情报方式。但是目前基于正则表达式规则库的WAF产品很容易被绕过,建议使用新技术解决其问题。当然国内外厂商也在这方面做的很多工作,比如说imperva 动态特征创建,国内厂商的自学习功能。从功能测试看,国外动态特征创建要比国内的自学习功能强,因为国内的自学习主要是规定一段时间学习url提交的参数(string&number)但是imperva是一直在自学习,然后快速建立攻击模型。
2.2、WAF产品架构分析
以上三款产品都是以硬件形式部署到用户环境当中,随着公有云平台逐渐被用户接受,本次分析主要聚焦在软件集群形式的WAF架构和硬件WAF技术分析。
| 软件集群形式WAF | 硬件WAF | |
|---|---|---|
| 针对网络层防护 (1)代理防火墙模块 (2)简单抗D功能 (3)抗CC攻击 |
无 or 很少 | 必备 |
| 系统组成模块 (1)web console (2)检测模块 (3)代理转发模块 (4)数据分析模块 |
各个模块部署灵活,集群能力强,数据分析模块可以集成到云端,具备大数据分析能力。 | 多模块集成到一个box,依靠HA bypass等硬件集群形式,比较僵硬。高峰流量时候,容易出现检测模块过载,服务假死的情况,数据分析模块,由于大多管理口不对外无法连接云端。所以很少有厂商集成。 |
| 代码架构 | 前后端分离,web端使用Angular等架构,后端使用python等API方式提供给前端 | jsp/php做web console 通过web应用程序直接调用python、sh脚本执行底层代码 |
2.3、产品测评
| 测试项 | imperva(NSS Lab) | nsfocus | 天融信 |
|---|---|---|---|
| OSWAP Top 10 漏洞类型检测 | all | all | all |
| 准确率 | 99.82% | 由于测试脚本原因无法判断好坏 | 由于测试脚本原因无法判断好坏 |
| 召回率 | 0.110% | 由于测试脚本原因无法判断好坏 | 由于测试脚本原因无法判断好坏 |
| CPS(connections per second) | 13,385 | 10,000以上 | 10,000以上 |
| 稳定性和可靠性:HA bypass | ok | ok | ok |
0×03、产品交互分析
分析To B产品方面交互,其实比较难,因为本身用户就少,体验方面,其实用惯了就好。当然,伴随着SAAS平台的日益兴起,建议在易用方面增加相应的用户体验。
| imperva | nsfocus | 天融信 | |
|---|---|---|---|
| 表现层-视觉设计-用户界面简单易用 | * | ** | *** |
| 架构层-界面设计 | ** | ** | *** |
| 架构层-导航设计 | * | *** | *** |
| 结构层-交互设计 | * | *** | *** |
| 范围层-功能规格-功能逻辑划分明确 | ** | *** | *** |
结论:可以看出产品交互设计方面国内厂商NB,因为国内用户一般都是技术小白。imperva我刚开始看的时候一头露水,要看产品文档才能理解为什么这样设计。显然,进入国内市场还需要在产品交互上多下功夫。
0×04、运营及推广策略
4.1、运营方面首先如何获得用户体验,这方面nsfocus做的比较好,采用google analytics。
4.2、推广方面
(1)百度指数
imperva 没有买百度指数…
(2)公众号
| imperva(无公众号) | NSfocus-weixin | TopsecPioneer | |
|---|---|---|---|
| 更新频率 | 无(主要靠渠道用户开会等方式) | 每天3篇 | 每隔2-4天发一次,每次3-4篇 |
| 最近文章阅读量最多一篇文章 | 无(主要靠渠道用户开会等方式) | 5557 | 3324 |
| 用户数量 | 无(主要靠渠道用户开会等方式) | 不是订阅号 无法判断 | 不是订阅号 无法判断 |
(3)微博号
| imperva | NSfocus | Topsec | |
|---|---|---|---|
| 粉丝 | 443 | 10000 | 2475 |
| 文章 | 239 | 1178 | 534 |
* 本文原创作者:bt0sea,本文属FreeBuf原创奖励计划,未经许可禁止转载
-
@ nicai 哥们,你是来搞笑的吗?nsfocus说的是谁你不知道? -
咋一看天融信的技术参数会给人一种比绿盟waf好的感觉,实际上天融信的waf就是一坨shit,谁用谁知道! -
老头衫写的表面上貌似涵盖的地方很多,实际上是一个很“不专业”的测试。
甚至没有给出详细的功能测试项目,模棱两可的掠过了WAF最重要的“功能指标“。我十分怀疑作者与T厂的关系。
我作为源乙方售后转甲方安全,详细了解过绿盟、imperva的WAF,并有多年使用运维经验,自认为比较了解行业内各厂WAF,绿盟的WAF还是国内最好的,且与天融信差的不止一点半点。
国内各WAF与imperva的WAF还是不在一个级别上。各位懂得想必都知道,在评论区写下,希望本文不要误导各位有WAF采购需求的公司。 -
@ bt0sea 迪普也有哇,还是万兆,十万兆的,当然用起来比较挫。其实,就WAF而言,都比较差。个人觉得WAF很鸡肋,APT,高手不好防,除非大量人工介入。基本上就是防工兵,娃娃兵吧,但成本有点高吧!最难受的,在应用访问高锋,基本上都会拖业务
-
topwaf@cuger 关于天融信的waf,欢迎提出宝贵意见,有哪些不足之处可以一一列出来,有则改之无则加勉。
关注我们 分享每日精选文章
活动预告
-
11月
FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束 -
10月
已结束 -
10月
已结束 -
9月
已结束
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0daybank
已有 61 条评论
多一些厂商对比就好了。。。
@ 鬼魅羊羔 ok,不知道你想看到哪些厂商的?我研究一下
@ bt0sea 建议补充一下启明和安恒的,国内无非这几家做得还可以,谢谢
@ x大象y 收到,但是目前没有设备,不知道是否可以提供一下。呵呵
@ bt0sea 迪普也有哇,还是万兆,十万兆的,当然用起来比较挫。其实,就WAF而言,都比较差。个人觉得WAF很鸡肋,APT,高手不好防,除非大量人工介入。基本上就是防工兵,娃娃兵吧,但成本有点高吧!最难受的,在应用访问高锋,基本上都会拖业务
@ Heart-J WAF的鸡肋主要表现在性能转发,容易成为性能的瓶颈点,防护方面还是可圈可点的;APT防护还需依赖检测分析技术和产品。
@ bt0sea 站内安恒和启明的朋友可以协助一下啊,顺便展示和推广产品,呵呵
@ x大象y “可圈可点”有,但太少,太小,聊胜于无。个人认为,就当前,企事业单位完全没必要采购WAF。一个是,WAF的生存空间只是由于传统安全防护和代码层防护没有结合,但这是企业管理甚至是安全治理问题,上了WAF,问题仍然有;二个是,WAF运维要比IDS、IPS、FW、LB复杂。海量日志管理引发二次投入,WAF规则库升级引发不可确定性;三个是,重复性地低级同源同类攻击,就算是机器行为,那意义也极小极小;就算安全人员需要分析这部分数据,也可以旁路一套开源WAF,或者上个罐子。当然,安全事件~重装系统,出现问题~采购设备,简单思考,粗暴实施,毕竟沙克也干了。
居然没有绿盟的waf,竞争分析确实做的不是很全面啊,又是一篇pr~
@ nicai 哥们,你是来搞笑的吗?nsfocus说的是谁你不知道?
@ 公瑾风流 人家说的是绿盟 你拿个nsfocus 出来……
哈哈哈哈 认真你就输了
这个分析中的运营及推广策略会不会有点片面,毕竟一个是国外厂商其他的国内厂商,Imperva Twitter 的粉丝数量11多W
@ DO2 因为主要看中国市场推广,Twitter 要翻墙才能上(大部分人还是上不了Twitter )。。。。也是我没有说清楚。
多厂商对比下
@ 死宅10086 好的,了解,会继续找环境对比的
希望可以测试一下青松的waf,也欢迎多提宝贵意见!
@ lgs1520 绕过~
@ 白帕斯 兄弟能私聊吗?
咋一看天融信的技术参数会给人一种比绿盟waf好的感觉,实际上天融信的waf就是一坨shit,谁用谁知道!
@ cuger 这个不好评断,尽量保持客观性吧,仁者见仁 。。。
@ cuger 请提点建议。
@ topsecwaf 有幸使用过
1、用一台测试pc长ping目标服务器,然后测试pc的ip被封了。。。。封了。。。。(忘记是默认配置还是你们工程师设置的)
2、白名单功能几乎是废品,把测试ip加入白名单后依然被拦截,半天不生效,导致测试过程中只能选择放行策略。
其他功能没怎么使用,不做评价
@cuger 关于天融信的waf,欢迎提出宝贵意见,有哪些不足之处可以一一列出来,有则改之无则加勉。
@ topwaf http://www.tuicool.com/articles/Brm2Ebi
@ nsfocus 这位网友不简单
哟,不错哦
云waf除了反向代理waf现在还有别种类么?
市场占有率,除了阿里以外,其他的感觉不是很准确,另外topsec是oem的,技术都不是自己的
@ yu 其实这个和样本采集的有关系,后期会对金融互联网公司做一次全面的检查,给出比较全面的调研数据,topsec其实也只看一个表面,没有深入的了解,oem不oem不管,市场上存在这一脉,而且市场方面有投入是事实。技术再厉害也需要把它换成钱。。。
@ bt0sea 请问怎么检查?挨个敲门查么
产品测评亮了,这三种WAF我都了解过,imperva绝对行业NO.1,绿盟和天融信就是渣。建议小编多找几家生产环境真实测试。
@ 路人 绿盟那个其实还行~ imperva没接触过
不是一个级别的东西没有可比性
lz下一篇文章会不会对比下nsfocus和天融信的墙?
@ xxfocus 有设备测试应该可以。
这种不全面又不深入的文章,谨慎阅读
nsfocus会比天融信的差?这是一篇软文,鉴定完毕!
@ lx277856602 我下结论了么?你仔细看文章了么?
文中说:“备注:详细的原始数据,可以联系文章作者获取。”我想看一下具体数据,麻烦发我一下。另外想跟你沟通一下你waf市场调查过程及情况,麻烦给个联系方式。
硬件waf没有绿盟和安恒?云waf没有创宇?主机waf没云锁? 这是篇PR稿么
@ 道哥 绿盟好像有吧。云waf确实没怎么说,主要是没有环境试用。请道哥提供环境。。。
@ bt0sea 云锁绝对超强。。。目前无法绕过
@ 白帕斯 SAAS化的waf最强的就是就算你绕过去也没屁用,穿个马执行时候就被干掉,日~而一句话木马绕传统waf,呵呵呵,百试不爽。
写的表面上貌似涵盖的地方很多,实际上是一个很“不专业”的测试。
甚至没有给出详细的功能测试项目,模棱两可的掠过了WAF最重要的“功能指标“。我十分怀疑作者与T厂的关系。
我作为源乙方售后转甲方安全,详细了解过绿盟、imperva的WAF,并有多年使用运维经验,自认为比较了解行业内各厂WAF,绿盟的WAF还是国内最好的,且与天融信差的不止一点半点。
国内各WAF与imperva的WAF还是不在一个级别上。各位懂得想必都知道,在评论区写下,希望本文不要误导各位有WAF采购需求的公司。
@ 老头衫 非常感谢你这么精彩回复,看到你的回复我也有点坐不住了,拿出本马上回!是这样的,freebuf 12月份有个互联网大会,我会公布关键的测评数据。到时候你就知道专业不专业了。WAF最核心技术指标的准确率和召回率,这个是WAF厂商生存的根本,我当时写文章的时候是有数据的,但是公布真的有些担心被吊打。所以模棱两可一下。也希望你理解,毕竟在专业的安全媒体上不能胡乱说。还有如果有时间看看我测评部分后面简单的评论,你也应该猜到我要说啥。。如果不清楚,我也会在freebuf 大会live环节阐述一下。还有我可以负责任的告诉你我和T厂商一点关系都没有。只是从产品经理的角度上看topsec界面部分比绿盟好,还有一点我要告诉你绿盟2014年以后对waf的开发维护也逐渐变少了,也从另外一个角度上说明,WAF硬件的销售已经在走下坡路。我没做调研之前和你的想法一样绿盟是国内最NB的。但是要用数据证明呀。imperva产品也确实好,动态特征创建是值得大家研究,但是也不要神话国外WAF产品,详细的技术说明我也会在freebuf的会上说明。我们要做的就是用客观的证据去证明产品的好坏,好那么好在哪里?这条技术路线为什么只有国外厂商采用?中间的利益取舍我想也只有参与产品研发过程上的人员才能知道其中的奥秘。还有我写这个绝对不是为了销售导向,是大家在选择WAF的时候要擦亮眼睛用真实的数据说话,而不是谁给我的回扣多,我买谁。。。
@ 老头衫 BT写文还是专业,之前发的看过不少,没有明显引导推荐倾向。但本文中选取产品类型确实较少,要知道3选1是决策基线,就算在招投标环节,法务、监察都有可能提出异议。更多的,多数公司采购部俱要求放低门槛,比如注册资金要求不可高于预算5倍,3倍听说过吧。所以说,我不觉得BT存在引导或推荐,但我觉得BT认知或者立场存在歧视嫌疑。很多小公司创宇、迪普、深信服等等都有产品吧。另外,就WAF核心功能而言,本地部署和云端部署差异不大,建议竞品分析加上云WAF或安全云部分。当然你可以说,选择较优的几家来比较,但本来就是矮子里面拔将军,如果可选方案还少的话,那文章意义要打折扣。另外,我觉得老头衫不必纠结于绿盟怎么怎么样,做了十几年安全服务了,大厂商小厂商各种产品有的太多了,丢开FW,安全产品和网络产品稳定、健壮根本没法比,每个厂家都窝心!
为什么没人喷喷蓝盾WAF那? 强烈想知道蓝盾在WAF方面做的怎么样!!1
@ Zer0 我只知道金盾 ,我现在只有绕云锁和安全狗比较费劲,其他都形同虚设。
楼主很明显忽略了SAAS化的waf的市场占有率,保守估计安全狗、云锁、云盾agent(安骑士)用户量可能是传统的waf的几十倍甚至百倍,而且SAAS化的waf并不是你说的免费,是按需收费,这个waf市场占率的饼图就有点意思了~PS:windows agent waf少打了个S, 此外linux agent waf的数量可能远超过你想象。
@ 白帕斯 不是忽略,是商业环境上到底有多少人愿意在业务主机上安装Agent?SAAS这种没说不好,只是用户有顾虑。还有采样确实有点少,我会把范围扩大。我也相信AgentBase WAF肯定很多。最后看数据吧。我理解的SAAS商业模式是先通过免费的模式推广,然后如果需要高级入侵分析需要另外付费,至少安全狗是这样的。以前有幸看过安全狗的大数据分析平台,至少有几十万服务器安装了,但是这里有多少是收费的呢?windows那个是判断出来的。有数据支持的,只是没有在文章说明。Top24 没有碰到linux agent waf 所以没有加S
补充:现在可能部分服务器上都装着安全狗、云锁或者安骑士这类saas,拿服务器难度已经很大了~如果楼主有实战经验,这个应该很容易感觉到。
@ 白帕斯 好吧 有做渗透测试的的朋友现在还有几个安全狗的0day 好像是header 有多余字段会被sqli绕过(没有过滤)。
@ bt0sea
能不能分享一下,现在乌云没了,很难搞
什么?我厂居然没有开发出自家的WAF?明天我就将我司搞web安全的家伙给开了
只能说不专业,没有亲手去摸过产品来写评测也是醉了,国内很多安全厂商的产品不就是得过且过么?表面说的神乎其神,实际上烂的一塌糊涂。数据,呵呵,不都是靠关系来的么?从技术层面讲,国内产品和国外产品不是差的一点半点。
不测评阿里云WAF,怎么取信于人
不敢相信,尽然有人那国内的waf跟imporva比较,还说用户体验比人家做的好,专家级的评测,佩服
@ 西沟里 imporva不可否认在WAF领域做的非常好的产品,但是有一点在用户体验上做的繁琐,不适合中国人的操作习惯,这也是不争的事实呀,如果你觉得imporva操作的很顺畅就只有一个原因了,可能你没用过更容易操作的WAF产品。
天融信?
商业性质严重
waf如果不能跟业务逻辑和机器学习(自学习)等结合起来,只是靠一套又一套的规则,维护起来会很蛋疼,而且大家都说了安全产品经常遇到的问题:自身的健壮性、稳定性。waf首先得是个高性能、高可用的proxy或者gw,不然的话怎么做阻断,那些说从waf dump出来的log扫出异常请求再去gw或者proxy上阻断的,效率低了些。另外,waf如果不往深了做,真觉得很鸡肋,国内waf被绕过的情况实在太多了。依赖黑白名单+限速,绕过真的太容易。