近年来信息安全形势严峻，先有xx事件，后有xx事件，安全事件层出不穷，防不胜防；随着黑客的技术不断迭代对web业务的安全性提有了新的挑战。国家主席习近平发表讲话：没有网络安全就没有国家安全。在国家的号召下各行各业逐渐开始重视web安全，工信部域名备案需要进行风险评估、公安部制定和推行等级保护，都一一指示出网络安全的重要性和当前的形势不容乐观。而web安全更是网络安全中的重灾区，黑客通常都是通过web系统开始进行攻击，进行web防护是展开安全工作的第一步。

2. 存在风险 （黑客扫描、web应用漏洞、中间件漏洞、DDOS和高防、可用性监测、防篡改、无访问统计、过度依赖规则库、无24小时值守服务、移动监控不到位）

当前客户环境虽然已有防火墙、IPS、上网行为管理等相关的安全设备（可解释这些设备跟），但对web安全仍无针对性防护。存在着如下风险：

• 无法发现web安全隐患，对web应用的脆弱点不明确，不知道web应用有哪些漏洞

• 对分布式拒绝服务没有有效的防范措施（IPS是抗DOS通过简单阈值控制，非抗分布式，不是针对网口带宽值进行防护）

• 对篡改攻击没有应对措施，若是遭遇篡改攻击被黑客挂上暗链、木马、博彩、反政府等信息无法及时告警和防御

• 对网站的可用性没有7*24小时的实时监测

3. 传统环境的web安全解决方案（主要说明缺点）

• 传统web扫描器只能被动扫描，需要人员操作，策略更新不及时，无法监测篡改、暗链、webshell，扫描时间长性能差设备容易老化；无法实时监测网站状态，当网站发生可用性问题时无法及时告知管理员

• 传统http抗DDos、ADS流量清洗无法防御高防流量，对直接在运营商线路灌满的攻击无法防御；单机作战没有大数据和云端的支撑；受限于机器本身的性能无法进行深度的机器学习来判断访问是否合规

• 传统WAF部署变更繁琐、管理难、故障率高，防御规则更新慢且不便，误报率高，告警可读性低

• 传统链路负载均衡只适用于同运营商加速的情况，无法控制用户访问节点无法对用户的访问路径进行优化，对于同运营商网络的质量无法针对省份和地区进行优化和内容分发，只能实现简单的加速效果，而且还必须要做到源进源出

• 无DNS劫持和篡改防护，传统网页防篡改更新网页繁琐，且对需要写权限的文件和目录无法防护，一旦这些文件有漏洞则会导致网站被篡改，造成不可磨灭的损失，在应对网站访问上没有一键关停等措施

4. web saas解决方案（既包含传统方案优点，又有很多优势）

• 部署简单操作成本低（只需要该DNS别名）

• 云WAF（防御web攻击）

• 云监测（监测网站状态：可用、篡改、回连、钓鱼识别）

• CDN加速（DNS映射的成效而已）

• DDos高防

• 安全评估服务

• 威胁情报（黑域名、IP、文件md5）

• 7*24小时热线服务：
  24小时400电话热线（你只需要说出你的需求，剩下的让工程师来）
  APP或小程序随时随地查看网站状态
  日报周报月报年报自动发送，我们为您做了什么都在报告里面呈现出来
  web应用断网或服务异常提示

5. 推荐配置清单

6. 竞品分析

对比传统厂商（安恒、绿盟等）：

• 抗D自研（安恒是用阿里云的，只适用于电商行业）

• 漏洞扫描和监测能力更强（还有很多自己挖掘的0day漏洞）

对比云厂商（阿里云、腾讯云、华为云、网宿云等）

• WAF和漏扫积累20年，行业经验吊打云厂商

• 每个省份都有办事处和现场技术支持人员

对比互联网厂商（长亭科技、知道创宇、智安网络、铱迅信息）

• WAF、漏扫、抗D积累20年，行业经验吊打互联网厂商

• 每个省份都有办事处和现场技术支持人员，2小时内到现场是小厂商不具备的

• 各种资质和大事记安全运营经验

关键性因素（硬实力）：

• DNS与CDN结合得怎么样？总不能让客户解析两次DNS吧？

• 案例经验：客户使用多家CDN的云防护方案怎么搞？（肯定不能用多家云WAF）

• 抗D、WEB防护支持多大流量（判断抗压能力）？防护效果怎么样（判断规则积累）？

• 漏扫扫出的漏洞1.多 2.准 3.快 4.报告更完善 5.深（扫描深度要展现出来，扫描了哪些URL？）

• 网站监测逻辑和效率如何？不会影响源站性能吧？舆情监测？怎么判断是网站自己更像还是被篡改？

• 直接攻击源站IP的解决方案：CDN加入源站防火墙白名单的策略