F5 Advanced WAF安全防护策略分享——产品+服务是防御DDoS攻击的利器

　　2018年12月13日夜间，国内多家银行的HTTP、HTTPS在线业务受到了来自以海外地址为主的攻击。国内电信运营商在第一时间针对80端口及443端口的CC攻击进行了封堵，有效地保护了被攻击金融客户的链路，但是即便是经过了运营商进一步过滤，仍有不少攻击到达银行的数据中心，导致其对外的WEB服务器CPU使用率大幅提升，响应速度降低，影响了国内用户的正常访问。在本次DDoS攻击过程中，F5 Advanced WAF(API安全-新一代WAF)的安全防护策略被证实非常有效地帮助用户抵御了攻击。以下是F5首席技术官吴静涛，从应用的角度分享F5对于安全防护的一些创新思路。
　　
　　F5 Advanced WAF(API安全-新一代WAF)的安全防护策略对于安全防护的优势还有很多，其中“一键防护”功能最贴近用户需求。由于攻防转换往往是分分钟的事，所以客户需要有一个非常快速的工具来应对。显然这时搭建DevOps模型让研发部门去改是来不及的，因为代码需要经历校验、测试、评估之后才能上线。所以最好的解决之道就是全自动去修改、配置，但由于大多数客户不允许全自动切换，因此F5推出了“一键切换”功能，帮助客户快速应对，非常好地满足了用户对应用的可用性、安全性、可视化和自动化提升等多种需求。

　　从企业客户角度来看，与DDoS攻击对抗是一个漫长的过程，攻击手段和工具会不断刷新，那么如何才能让自己立于不败之地呢？F5给出四点建议。

　　第一点建议，用户需要意识到网络攻防和合规是两回事，安全部署不应该以合规为目标，而要重点考虑攻防，将攻防放置于首位。

　　第二点建议，不要将安全防御能力全部寄希望于全自动安全模式，从另一个角度而言，全自动也意味着安全风险，最好的处理办法是要做可控的风险管理。

　　第三点建议，谨慎选择透明模式和Bypass模式。很多客户被攻击就是因为这两个模式，如今的DDoS攻击终极目标其实并不是让业务瘫痪，而是为了在彻底打穿透明模式和Bypass模式之后，掩盖不法分子如入无人之境般窃取核心数据。对此F5给出的解决之道是构建一个超高弹性的全代理架构，做现代攻防的处理。

　　第四点建议，用户需要改变统一安全策略，对于关键应用而言，需要对应用做完流量精分之后，再根据不同灰度的流量进行安全策略配置。F5 Advanced WAF(API安全-新一代WAF)的安全防护策略+服务的攻防模型已经被众多用户证明是有效的，可供参考。

　　“攻防是第一目标，流量精分是实现方法。F5希望实现的效果是通过机器学习之后的一键操作，而不是简单的全自动，最终构建出完整的安全防御体系。”吴静涛总结道。