WAF-UWAFWeb安全防护报告

摘要：部署地域分布客户在业务部署区域的选择上也有不同，从客户业务部署地域分布来看，主要集中在国内的北京和上海，客户通常会选择购买业务部署区域的，也有客户采用多地域部署以提高业务的可用性，总体来看客户的需求集中在防御攻击防攻击以及满足合规需求。

2021年UWAF累积为各个行业的客户提供了1117个域名的高质量访问服务，并提供安全防护，有效的保护了客户的数据信息与资产安全。

2021年Web安全形势依然严峻，从今年OWASP TOP10 2021来看，各类安全风险变动很大，排列Top3的风险项分别为失效的访问控制（越权访问）、加密失败（敏感信息泄漏）、注入。其中针对失效的访问控制和注入，UWAF依托规则+AI双引擎，有效识别并拦截恶意请求；针对加密失败，UWAF提供HTTPS访问与SSL证书管理结合，有效防止数据在传输过程中被窃取，保障数据的私密性、完整性，同时UWAF的安全防护能力，可对敏感信息进行脱敏或阻断响应，防止信息泄漏。

【UWAF产品升级优化】

2021年UWAF为提升Web防护能力，已进行多次升级改进，增加了CC封堵IP、IP查询、滑动验证码等功能，并对各类报表进行了优化，开放了多样化的数据。同时积极跟进最新的Web漏洞，对上半年爆出的Apache Solr任意文件读取、泛微OA8前台SQL注入、禅道11.6 SQL注入等漏洞，下半年爆出的Grafana任意文件读取漏洞、Log4j 2 远程代码执行等漏洞进行应急响应，及时发布规则，在客户没有安装相应的补丁前防护这些漏洞，为客户业务增添坚固可靠的安全盾。

【UWAF使用成功案例】

UWAF不仅注重保护客户业务的安全，而且始终关注客户的业务使用情况。当客户有特殊业务需求时，UWAF则会对客户的业务重点关注并提供有效保障：

案例一：4月份UWAF为部分客户的重保活动提供Web安全防护能力，为客户的安全体系结构提供支撑，有效防御重保活动中的各类Web攻击

案例二：5月份UWAF为新一届中国品牌日活动的相关域名提供Web安全防护服务，专人值班，不间断响应，全力保障业务以确保活动正常进行；

案例三：11月份中国信息通信研究院将行程卡的相关域名接入UWAF，带来了巨量的访问请求，UWAF及时配置集群以支撑行程卡的业务，在防护各类Web攻击与恶意请求的基础上为行程卡提供了高效稳定的访问入口，助力行程卡抗击新冠疫情。

【UWAF使用行业覆盖】

2021年UWAF共计服务了276位客户，涵盖企业服务、在线教育、电子商务、金融服务、游戏等行业，企业服务行业的客户使用UWAF主要是想具备Web应用的防护能力，方便为其终端客户提供增值服务或安全解决方案；在线教育、电子商务和金融服务的客户需要用到UWAF的防御能力，防止恶意请求影响业务或造成资产损害，在线教育和金融服务的客户还会用到UWAF进行合规方面的认证；游戏行业的客户主要是防护官网或其页游，这类客户容易遭受CC攻击导致影响玩家的游戏体验，该类客户使用UWAF后能有效过滤异常请求抵御CC攻击。

【UWAF部署地域分布】

客户在业务部署区域的选择上也有不同，从客户业务部署地域分布来看，主要集中在国内的北京和上海，客户通常会选择购买业务部署区域的UWAF，也有客户采用多地域部署以提高业务的可用性，总体来看客户的需求集中在防御Web攻击、防CC攻击以及满足合规需求。

UWAF 2021年攻防总览

UWAF全年的访问量十分巨大，伴随着的是大量的恶意请求和攻击，2021年UWAF共承载87,852,911,329次访问，日均240,692,907次访问；共拦截3,689,099,008次恶意请求，日均10,107,121次拦截；检测到716,030,901次攻击，日均1,961,729次攻击。

说明：访问数包含总访问次数，拦截数包含拦截的黑名单、CC攻击、攻击请求等的恶意请求数。攻击数为触发UWAF规则和CC规则的次数。

图表说明：本文中的折线图/柱型图均是以周进行统计，1月1日至1月3日视为第0周，12月27日至12月31日视为第52周，图表中每个点代表该周的总体情况。

UWAF 2021年攻击情况

攻击趋势与攻击类型分布

从全年来看，TOP3月份为1月，8月，6月，占比全年的43%。从每周攻击情况来看，上半年攻击数波动很大，攻击数在1千万以下有15周，攻击数在2千万以上的有6周，有3周攻击数超过了3千万；而下半年攻击数虽存在小许波动，但总体来看是下降的。

攻击类型最多是恶意扫描，恶意扫描通常是攻击者的第一步操作，为了攻击目标Web网站，攻击者首先会利用扫描工具对Web网站的域名进行扫描，一般是发送一些恶意构造的数据，根据服务器的响应判断Web应用类型、是否存在WAF或是否含有Web漏洞等，一旦发现可利用的漏洞就会利用其实施攻击，最终损害客户的信息资产。UWAF内置多种规则识别恶意扫描请求，同时设有自定义拦截界面和响应码伪装功能可以欺骗扫描器干扰其判断。

其次是其他类型攻击，此类型的防护规则全部为客户自定义规则，通常是客户为了针对某个路径或含有某种特征的请求而设置的限制规则。UWAF提供常见的HTTP字段以及多种逻辑符供用户灵活设置，帮助客户最大限度的拦截恶意请求，保障正常业务。

第三是CC攻击，CC攻击通常有多个源IP地址，每个地址都会发送大量的正常请求给Web服务器，使服务器疲于处理CC攻击请求，消耗服务器资源，而真正正常的请求得不到处理，此时从用户角度来看就是打不开网页或打开过慢，从而实现对Web网站的攻击。UWAF在多个地域部署了集群，每个集群均能承受百万级QPS的访问，同时能针对IP进行全站或路径的秒级请求统计，精准识别异常高频次请求，有效拦截CC攻击请求，保障客户Web网站的可用性。

受攻击区域分布

当前UWAF半数以上的客户业务都是部署在北京，北京区的访问量非常大，同时也承受了78%的攻击；其次是香港承受了16%的攻击，香港区的客户有对国际提供服务的，也有对国内提供服务的，因此攻击源比其他区域多，承受国内外的攻击者的攻击；上海和广州的客户的访问量相对较少，攻击量也少一些，攻击数全年占比5%左右。

UWAF 2021年攻击源情况

攻击源地址数总体在上升，若以每周含20%的重复地址来计算，全年大约有523万个攻击源IP。全年攻击源主要集中在国内广东、山东、江苏三个省份。最高的一周有35.6万个IP地址，该周有大量境外地址发起攻击；针对一些恶意IP地址，UWAF提供了黑名单以及区域IP封禁功能，支持封禁单IP、网段、IDC IP、ISP IP以及境外IP，该功能帮助客户封禁了大量恶意IP地址从而在恶意请求到达源站前阻断了恶意IP的连接。