零信网关特色之三：超值-WAF防护
2024年3月11日

笔者在《零信网关特色之一：自动化》解读了零信网关同其他网关的最大的不同是“自动化”，这是一个端云一体自动化实现国密HTTPS加密的创新解决方案。在《零信网关特色之二：超值-双SSL证书》解读了零信网关的超值—5年免费为最多255个网站自动化配置双SSL证书，证书价值高达623万元。虽然笔者在文章中给出了计算公式，但是有些读者还是有些质疑，因为这在传统的商业产品中的确有些不可思议，可能会让用户认为是夸大宣传，笔者在解读第三个特色之前补充解读一下特色之二的超值。

传统商业产品如果销售价为38万元，宣传免费赠送高达623万元的附加产品，这的确让人难以置信，第一反应是商家夸大宣传。但是，对于零信网关自动化配置的双SSL证书，这是一个数字产品，在密码基础设施投资后的用户量上来后的边界成本可以降得非常低，甚至可以做到完全免费，这就是为何全球第一大CA – Let’s Encrypt完全免费自动化提供90天RSA算法DV SSL证书。“自动化”是关键，零信网关就是做到了自动化配置证书，才能把证书价格降了下来，把国密改造成本降了下来，才能实现自动化配置国密算法OV SSL证书，实现超值配置证书。按照标配网关售价38万元计算，分摊到每个网站的双SSL证书费用仅为298元/年(=380000 / 255 / 5)，大家可以去网上搜索一下是否有公司提供这么便宜的双SSL证书(一张一年期SM2 OV SSL证书和一张一年期RSA DV SSL证书)，这就是自动化给用户带来的超值！证签官网这样配置的双SSL证书就是OV SSL证书精简版，销售价格为4888元，乘以255再乘以5就是实打实的623.22万元！这是超值之一：节省证书费用。

其实，零信网关给用户带来的超值还不止这个，笔者在第一篇文章就已经列出了自动化给用户带来的节省工程师人力成本的价值，高达150万元(=1.25 * 2 * 12 * 5)，255个网站的SSL证书的部署和维护工作需要两个工程师，按照每个运维工程师每月1.25万元人力成本计算(包括工资、福利、公司运营成本分摊等)。这些完全可以由机器来完成的工作，并且还不会出错，为何一定要耗费在宝贵的工程师身上呢？应该让工程师去干更重要的工作！上面这个人力成本的节省还是按照目前SSL证书有效期为一年来计算的，每11个月就要实施一次，而如果证书有效期缩短到了90天，每年就要申请和安装证书5次，工程师的数量就要增加5倍才能完成任务，这就意味着零信网关可以节省5 * 150万元 = 750万元的人力成本，这就是自动化的厉害，大家也不能理解为何自动化工厂在不断普及的原因了，节省太多人力成本了，而且还不会出错。这是超值之二：节省人力费用。

大家别以为笔者的文章跑题了，前面只是今天本文的引言部分，先给大家总结一下零信网关的前两个超值：节省证书费用和节省人力费用。还有一个超值今天接着讲。

WAF是Web应用防火墙的简称，对网站安全很重要，相信大多数本文读者都知道。笔者在2022年写的文章《未来2年，70%用户将选择云WAF防护》引用Gartner的2021年报告预测数据：到2024年，70%的组织为Web应用选用云WAF防护。笔者粗略统计了一下欧美的政府网站和大企业网站，这个预测数据是准确的。在我国，各大单位都已经开始采购或者已经采购WAF设备，或者正在使用云WAF服务，中国政府网www.gov.cn已经采用了云WAF防护，31个省市政府官网有6个已经启用云WAF防护，可能还有些是本地WAF设备防护，笔者无法统计到，据了解各种政务云平台都在采购WAF设备。

无论是WAF设备还是云WAF服务，都是在原Web服务器之前增加一个Web流量清洗服务，拦截恶意连接和放行正常连接。而对于HTTPS加密的普及强制应用，WAF设备和云WAF服务就得支持HTTPS加密流量的卸载后再清洗。而对于国密合规要求，WAF设备和云WAF服务就得支持国密HTTPS加密。卸载国密加密流量后再清洗。这就对WAF设备和云WAF服务提供了更高的要求。而传统的工作方式是用户向CA申请SSL证书，再配置到WAF设备或云WAF服务中去，手动方式费时费力费钱，现在是一年一次，如果SSL证书有效期缩短为90天，一年就要折腾5年。用户购买WAF设备或云WAF服务的费用一定还会增长，因为需要更多的人力支援提供服务。

熟悉零信网关或者读过前两篇解读零信网关特色的文章的读者一定了解，零信网关在用户Web服务器中的部署方式同上面的WAF设备部署方式一样，零信网关就是负责卸载HTTPS加密流量转发给后面的Web服务器。如果用户已经购买了WAF设备，则需要在WAF设备之前部署零信网关，让零信网关来自动化完成HTTPS加密和卸载，把明文数据转发给WAF设备来拦截恶意流量。这样，原先手工申请SSL证书，人工部署SSL证书的工作就可以交给零信网关来自动化完成了，原WAF网关就可以专用于WAF防护。

为了减轻用户的Web安全防护费用，零信网关集成了基于开源ModSecurity的WAF系统，默认免费为网关用户提供WAF防护服务，这样，还没有采购WAF设备的用户就不用增加投资预算去另外采购WAF设备了，为用户提供一站式HTTPS加密自动化 + WAF防护服务。这就是今天要讲了第三个超值：节省WAF设备费用。

零信网关自动化为网站配置双SSL证书，自动化实现国密HTTPS加密、卸载，由WAF模块自动化分析卸载后Web流量，拦截恶意流量和放行正常流量到后面的Web服务器。一台网关设备内自动化完成SSL证书申请、部署、HTTPS卸载、WAF防护等全面的网站安全服务，这就是零信国密HTTPS加密自动化网关的技术特色。

零信网关这个WAF模块的防护性能如何呢？我们用业界有名的CloudbricLabs提供的WAF性能在线测试工具WAFER实测的结果是：检测能力为B，识别能力为A。

具体拦截指标有：100%拦截服务器端包含注入、98.66%拦截跨站脚本攻击、98.44%拦截SQL注入、85%拦截目录遍历攻击、80.49%拦截命令注入攻击、60%拦截本地文件包含攻击。笔者把这些指标给一个用户看时，这个用户提出了可能所有用户都会提出的问题：还有未被拦截的攻击怎么办？这的确是一个好问题，笔者的回答是：所有WAF都不可能拦截所有攻击，只能是发现了没有拦截的攻击，通过分析攻击来增加防护规则，从而不断增强拦截能力，这是需要用户参与的WAF防护日程管理工作。

对于零信网关免费配套的WAF防护模块能有这么高的防护性能，笔者还是很欣慰的，这个防护性能相当于买零信网关又免费赠送了一台价值百万的WAF设备，因为市场上的售价百万的WAF设备的拦截效果也只有这个水平，甚至有些还不如这个水平。不仅如此，目前市场上的所有WAF设备都需要用户向CA申请和再花钱购买SSL证书，都需要人工费时费力部署SSL证书，零信网关WAF不需要，自动化完成，并且是免费配套SSL证书！还有大量的WAF设备不支持国密算法和国密SSL证书，零信网关WAF支持，并且是自动化支持！这些独一无二的价值就是零信网关给用户带来的第三个超值：节省WAF设备费用。

为了让用户直观地体验到零信网关WAF给用户带来的WAF防护价值，零信浏览器特别把零信网关WAF也列入了云WAF服务提供商数据库，可以像使用了其他云WAF服务的网站一样一样明确告诉用户这个网站由零信网关WAF提供安全防护，后面的小括号信息是防护节点的编号(sz代表深圳，后面的1代表第一个节点，- 后面的2代表第2台零信网关)。随着零信国密HTTPS加密自动化云服务节点的不断开通，用户会看到更多的不同城市节点的编号。

最后总结一下，零信网关的第三个特色是集成WAF模块，为用户网站提供高质量的WAF防护。同传统WAF设备不同的是，用户无需向CA申请和购买SSL证书，无需人工手动在WAF设备上部署SSL证书，这些工作都已经由零信网关自动化免费完成，自动化实现国密HTTPS加密、卸载、WAF防护，把清洗后的干净流量转发给后面的Web服务器，让原Web服务器零改造完成国密HTTPS加密改造，完成WAF防护，保障Web服务器能不间断地安全加密地为用户提供Web服务。