一款WAF产品，我们会主要从功能、易用性、性能三方面来进行评测。

首先，我们知道waf产品从用户定位来看，有以下两种：

目标用户：站长   提供的服务：防住攻击就好，例如云WAF产品 收费点：增值服务 

目标用户：互联网商家 提供的服务：不仅仅是防住攻击，还有风控、审计、监控，SIEM，取证等要求，例如SecureSphere 收费点：产品ALL-in-One

接下来，我们按第二种WAF产品的要求，来看SecureSphere的优势在哪里？

一、功能

1. 1. 防御攻击的能力

我们知道传统WAF（包括其他安全产品）的技术核心是模式匹配，静态规则库很明显的缺陷有以下几点

a. 已知攻击的绕过

b. 未知攻击不可感知与响应滞后

当然，传统WAF也未这些缺陷，做出了弥补方案

1)  静态白规则的应用——基本都死在了误报上

如何自动生成白规则？ 如何感知防御内容变化动态生成白规则？是解决误报的难点，而SecureSphere找到了解决方案，这个也是它最大的卖点。

2) 事后运维

手段1：日志漏报分析——死在了日志分析能力上，如何保证及评测准确率，召回率

手段2：外界反馈（用户，安全圈）——死在了不可说的原因下

这两种手段的共同缺点是滞后，滞后的安全不是健康预防，甚至不是医生急救，而是法医验尸

我们来看看SecureSphere的解决方案

1）、动态行为建模——最大卖点

“adaptive normal behavior profile NBP architecture 动态生成应用正常行为特征模型 （白名单）”

从上图我们可以考到，模型包括三个方面

（1）web特征模型

核心：理解应用，用户点击一个url的过程，发生了什么？

请求方法？请求path？查询字符串？post数据？表单如何解析？JS如何处理？请求通过web server传入后端后，交给了谁？是DB？还是OS的文件系统？怎么处理？最后是读取、写、还是执行操作。

（2）DB特征模型

web特征(server级别,app级别)；DB特征(server,app)； web-DB关联特征； 以用户会话为单位的请求关联分析，对后续的攻击事件取证也有很大帮助。 更优秀的分析方法吸取了白名单的优点-漏报小，改善白名单的缺点-误报大。

解决问题有两种方法，一是破——创建全新的方案（最大卖点，前面提到了），二是补——将已有方案优化到极致。

WAF最核心的组件——安全策略（比较low的叫法是规则），测量有五要素

• 策略类型 e.g. 防御SQLi
• 匹配条件 e.g. 参数名/参数值有注入语句
• 应用对象 e.g. 查询字符串，POST正文，请求头
• 动作 e.g. 拦截本次请求
• 例外 e.g. SQL管理后台例外

而SecureSphere从以下方面来化腐朽为神奇

1. 1. 策略类型全，我们强调了发现未知的神奇处，也不能忽略了已知（已经获得的安全知识）的优势，他们比未知更为有效（成本低，性能高）
   
2. 2. 策略多样性，不仅仅是正则特征码，还包括调用第三方工具接口（e.g. 扫描器接口,欺诈检测接口）； 不仅仅有防攻击策略，还有主动防御策略
3.  3.策略动作的多样性，不仅仅是记录与拦截
4.  
5. 4. 策略的配置粒度——合适的粒度，不要一刀切，例如所有的get参数，用同一个正则匹配

6. 5. 应用防御中心ADC的有力 支撑：每个做安全产品的背后都有一个或多个攻防实验室在补充知识库，无论是自己的还是别人的

   6.  ThreatRadar——外界安全情报系统的支撑：攻击源（IP，url）信誉库来阻挡大面积自动化攻击，区分自动化攻击，细化人工攻击

    
    

7. 2. 不仅仅是防御攻击

   传统WAF到这里就结束了。而SecureSphere做得更多

   它集成了以下模块：

   1) 风险管理： 集成了扫描器（DB，web漏洞）——风控团队可以用 

   (2) 审计管理——审计团队可以用

   风控与审计，对金融（电商，支付，银行）类目标用户，是标配

   (3) 监测IDS系统——SIEM（监测，取证）团队可以用

3. 缺失或存在质疑的安全功能

缺失：

1. 1. 社工？
   社工库？
   钓鱼？
2. 2. 逻辑漏洞-针对业务流程的攻击
   非常规访问流程
   明确WAF不能做的，可替代的方案，单独成反欺诈产品，提供接口调用其检测结果

3.  被攻陷后（接入安全产品前或安全产品未能防住的攻击）隐藏的后门，造成的破坏是否能被发现

质疑：是否有宣传的，对未知攻击的捕获、识别、评估有那么牛

      1.  捕获异常的能力：模型的准确率、召回率

      2. 识别异常的能力：是哪种0-day/未公开漏洞

      3. 评估异常的能力：影响了多少个系统？造成多大的危害

4. 泛安全功能（不是传统意义的攻击，但是危害用户的行为）

      1.  网站内容保护——反恶意抓取、垃圾信息注入

      2.  精准洪泛攻击——对API接口的海量调用、例如短信接口、验证码接口

二、易用性

1. 1. 产品部署
   接入方式是否容易？ SecureSphere支持透明桥部署；代理部署；旁路监听部署
   
   
2. 2. 产品使用
   

   差评：除了部分策略需要本土化，这是最需要本土化的地方

   优化程度：理想状态——不需要培训； 可接受状态：用户手册不超过20页

3. 3. 产品运维
   
   疑问：
   （1）新接入站点的训练时间？ 站点内容与训练时间的对应关系
   （2）站点变更的发现与训练？
   （3）错误的训练数据的影响？

三、性能

见官方数据

1. 流量: multi-gigabit
2. 延迟: sub-milliseconds

四、总结

从优秀的产品学习如何改善自己的产品

优点(卖点）：

   1. WAF本职：

创新点：动态建模（dynamic application and database profile ; user access monitoring; behavior modeling、web-DB 联动分析 (web user session to Dtabase query mapping)  +  

优化点：策略细化——更快（发现快，响应快）、更准（拦截准，定位准）、更全（发现攻击，识别攻击，评估攻击）

   2. 不仅仅是WAF，更是风控、审计、监测、取证

   3. 泛安全，不局限于安全，考虑用户需要的

缺点：

1. 操作本土化、简化
2. 策略本土化（这个其实不算缺点）

山寨这款产品的方法就是有选择的继承卖点+本土化