摘要：部署地域分布客戶在業務部署區域的選擇上也有不同，從客戶業務部署地域分布來看，主要集中在國內的北京和上海，客戶通常會選擇購買業務部署區域的，也有客戶采用多地域部署以提高業務的可用性，總體來看客戶的需求集中在防御攻擊防攻擊以及滿足合規需求。

2021年UWAF累積為各個行業的客戶提供了1117個域名的高質量訪問服務，并提供安全防護，有效的保護了客戶的數據信息與資產安全。

2021年Web安全形勢依然嚴峻，從今年OWASP TOP10 2021來看，各類安全風險變動很大，排列Top3的風險項分別為失效的訪問控制（越權訪問）、加密失?。舾行畔⑿孤?、注入。其中針對失效的訪問控制和注入，UWAF依托規則+AI雙引擎，有效識別并攔截惡意請求；針對加密失敗，UWAF提供HTTPS訪問與SSL證書管理結合，有效防止數據在傳輸過程中被竊取，保障數據的私密性、完整性，同時UWAF的安全防護能力，可對敏感信息進行脫敏或阻斷響應，防止信息泄漏。

【UWAF產品升級優化】

2021年UWAF為提升Web防護能力，已進行多次升級改進，增加了CC封堵IP、IP查詢、滑動驗證碼等功能，并對各類報表進行了優化，開放了多樣化的數據。同時積極跟進最新的Web漏洞，對上半年爆出的Apache Solr任意文件讀取、泛微OA8前臺SQL注入、禪道11.6 SQL注入等漏洞，下半年爆出的Grafana任意文件讀取漏洞、Log4j 2 遠程代碼執行等漏洞進行應急響應，及時發布規則，在客戶沒有安裝相應的補丁前防護這些漏洞，為客戶業務增添堅固可靠的安全盾。

【UWAF使用成功案例】

UWAF不僅注重保護客戶業務的安全，而且始終關注客戶的業務使用情況。當客戶有特殊業務需求時，UWAF則會對客戶的業務重點關注并提供有效保障：

案例一：4月份UWAF為部分客戶的重?；顒犹峁￤eb安全防護能力，為客戶的安全體系結構提供支撐，有效防御重?；顒又械母黝怶eb攻擊

案例二：5月份UWAF為新一屆中國品牌日活動的相關域名提供Web安全防護服務，專人值班，不間斷響應，全力保障業務以確?；顒诱＿M行；

案例三：11月份中國信息通信研究院將行程卡的相關域名接入UWAF，帶來了巨量的訪問請求，UWAF及時配置集群以支撐行程卡的業務，在防護各類Web攻擊與惡意請求的基礎上為行程卡提供了高效穩定的訪問入口，助力行程卡抗擊新冠疫情。

【UWAF使用行業覆蓋】

2021年UWAF共計服務了276位客戶，涵蓋企業服務、在線教育、電子商務、金融服務、游戲等行業，企業服務行業的客戶使用UWAF主要是想具備Web應用的防護能力，方便為其終端客戶提供增值服務或安全解決方案；在線教育、電子商務和金融服務的客戶需要用到UWAF的防御能力，防止惡意請求影響業務或造成資產損害，在線教育和金融服務的客戶還會用到UWAF進行合規方面的認證；游戲行業的客戶主要是防護官網或其頁游，這類客戶容易遭受CC攻擊導致影響玩家的游戲體驗，該類客戶使用UWAF后能有效過濾異常請求抵御CC攻擊。

【UWAF部署地域分布】

客戶在業務部署區域的選擇上也有不同，從客戶業務部署地域分布來看，主要集中在國內的北京和上海，客戶通常會選擇購買業務部署區域的UWAF，也有客戶采用多地域部署以提高業務的可用性，總體來看客戶的需求集中在防御Web攻擊、防CC攻擊以及滿足合規需求。

UWAF 2021年攻防總覽

UWAF全年的訪問量十分巨大，伴隨著的是大量的惡意請求和攻擊，2021年UWAF共承載87,852,911,329次訪問，日均240,692,907次訪問；共攔截3,689,099,008次惡意請求，日均10,107,121次攔截；檢測到716,030,901次攻擊，日均1,961,729次攻擊。

說明：訪問數包含總訪問次數，攔截數包含攔截的黑名單、CC攻擊、攻擊請求等的惡意請求數。攻擊數為觸發UWAF規則和CC規則的次數。

圖表說明：本文中的折線圖/柱型圖均是以周進行統計，1月1日至1月3日視為第0周，12月27日至12月31日視為第52周，圖表中每個點代表該周的總體情況。

UWAF 2021年攻擊情況

攻擊趨勢與攻擊類型分布

從全年來看，TOP3月份為1月，8月，6月，占比全年的43%。從每周攻擊情況來看，上半年攻擊數波動很大，攻擊數在1千萬以下有15周，攻擊數在2千萬以上的有6周，有3周攻擊數超過了3千萬；而下半年攻擊數雖存在小許波動，但總體來看是下降的。

攻擊類型最多是惡意掃描，惡意掃描通常是攻擊者的第一步操作，為了攻擊目標Web網站，攻擊者首先會利用掃描工具對Web網站的域名進行掃描，一般是發送一些惡意構造的數據，根據服務器的響應判斷Web應用類型、是否存在WAF或是否含有Web漏洞等，一旦發現可利用的漏洞就會利用其實施攻擊，最終損害客戶的信息資產。UWAF內置多種規則識別惡意掃描請求，同時設有自定義攔截界面和響應碼偽裝功能可以欺騙掃描器干擾其判斷。

其次是其他類型攻擊，此類型的防護規則全部為客戶自定義規則，通常是客戶為了針對某個路徑或含有某種特征的請求而設置的限制規則。UWAF提供常見的HTTP字段以及多種邏輯符供用戶靈活設置，幫助客戶最大限度的攔截惡意請求，保障正常業務。

第三是CC攻擊，CC攻擊通常有多個源IP地址，每個地址都會發送大量的正常請求給Web服務器，使服務器疲于處理CC攻擊請求，消耗服務器資源，而真正正常的請求得不到處理，此時從用戶角度來看就是打不開網頁或打開過慢，從而實現對Web網站的攻擊。UWAF在多個地域部署了集群，每個集群均能承受百萬級QPS的訪問，同時能針對IP進行全站或路徑的秒級請求統計，精準識別異常高頻次請求，有效攔截CC攻擊請求，保障客戶Web網站的可用性。

受攻擊區域分布

當前UWAF半數以上的客戶業務都是部署在北京，北京區的訪問量非常大，同時也承受了78%的攻擊；其次是香港承受了16%的攻擊，香港區的客戶有對國際提供服務的，也有對國內提供服務的，因此攻擊源比其他區域多，承受國內外的攻擊者的攻擊；上海和廣州的客戶的訪問量相對較少，攻擊量也少一些，攻擊數全年占比5%左右。

UWAF 2021年攻擊源情況

攻擊源地址數總體在上升，若以每周含20%的重復地址來計算，全年大約有523萬個攻擊源IP。全年攻擊源主要集中在國內廣東、山東、江蘇三個省份。最高的一周有35.6萬個IP地址，該周有大量境外地址發起攻擊；針對一些惡意IP地址，UWAF提供了黑名單以及區域IP封禁功能，支持封禁單IP、網段、IDC IP、ISP IP以及境外IP，該功能幫助客戶封禁了大量惡意IP地址從而在惡意請求到達源站前阻斷了惡意IP的連接。