本文先從網站客戶的角度談等保2.0時代網站防護的必要性，再指出等保時代沒有WAF功能的IDC會怎么樣，以及該如何做。

[[324718]]

已經是等保2.0時代了。

國家已非常重視網絡安全、網站安全。

等保2.0時代，對網站運營者帶來什么影響?

在網絡安全法和等保2.0的規范中：

• 單位或個人建立、運營網站，則有義務保證網站運行正常。
• 如果被網站攻擊、被入侵，散播出不良言論、帶來不良影響、或網站以不良形象示人。那么可能會給國家、社會或他人，帶來不良影響。如果發生此種情況，相關單位、責任人需承擔相應的法律責任。

具體的責任細節，這里不做贅述，可參考《中華人民共和國網絡安全法》第六章第21、25、33、34、36、38條，以及等保2.0細則。

總結而言，網站不做防護，違法了、后果很嚴重：相關負責人可能會被罰款、處罰，相關企業可能被停業、吊銷營業執照。這還不考慮網站防護的真實需求，只是從法律法規層面來看而已。

可能很多人不以為然，僥幸心理使然，認為只是個規定而已，不會查到自己頭上。是嗎?不!國家是認真的，各地已相繼展開等保核查工作，公安、網安已經出動：

也就是說：無論是出于真實的安全需求、保護網站安全，還是為了符合法律要求，做為網站的運營者，都必須要滿足等保要求、都必須給網站做安全防護了。

網站防護如何做?

當然是上WAF(WEB應用防火墻：Web Application Firewall)。

如何上WAF?

WAF有三種：軟件、云、硬件。

• 硬件WAF：就是買臺硬件WAF，接在自己的WEB服務器之前。但一般中小企業、個人是沒有自己的服務器的，都是用IDC的云服務器、虛擬主機，這里就不多講了，不是本文主題。
• 軟件WAF：就是自己在服務器上部署軟件WAF，需要自己動手豐衣足食。
• 云WAF：就是用IDC(云服務器、虛擬主機的提供方)的云WAF功能或平臺。

IDC與云WAF

這時，就與IDC相關了，國內絕大多數的網站運營者，都使用IDC提供的網站服務。

國內大大小小的IDC有數百家。知名的如阿里云、騰迅云等是有云WAF服務的，客戶選擇其WEB服務后，可以方便的使用其提供的云WAF，滿足真實防護需求和等保要求(不考慮價格因素的情況下，如不愿意承受其高價格，也可自己部署軟件WAF，如：ShareWAF)。

但更多的IDC是價格更為實惠的區域性的中小IDC。這些IDC通常是沒有WAF功能的，究其原因：很多IDC是代理商，沒有太多技術實力，更別說門檻很高的WAF產品研發能力，所以無法提供WAF功能，再一個重要原因：還未有足夠的認識和重視。

沒有WAF的IDC會怎么樣?

坦言：會相當被動。

以往，沒有等保要求的情況下，很多客戶是不在意安全問題的，許多小中企業只是架個企業靜態官網，做什么安防呢，沒那資金預算，也不在意安全問題：被黑了、網站被改了、掛馬了?大不了重上傳一下網站，無所謂的事。

[[324720]]

但現在不一樣了，如前文所述，如果發現上述問題，問題就大了。舉例而言：就算是個小網站，沒有太多的數據、太多的敏感信息，如果網站被修改，網頁出現了不良言論、不法言論、不實消息、色情等等，在公安、網安的視角：會造成不良的社會影響、甚至對國家造成負面影響等。

如是大網站，數據泄露、敏感信息流出，更是非常嚴重的問題，誰知是不是境外勢力的故意滲透、誰知道會被獲取什么信息、誰知道數據會被用于什么方面：釣魚?電信詐騙……

所以為防患于未然，網絡安全法、等保要求：網站防護，必須的!若不執行，就是公安、網安上門。

在這種情況之下，客戶對自身網站的防護需求，是真實的，是剛需。

如果IDC沒有、不能提供WAF功能或云WAF，客戶怎么辦?

客戶有幾種選擇：

• 方案1：自己部署WAF，自己維護;問題：有技術要求，不是所有客戶都有技術人員。
• 方案2：接入其它IDC的云WAF;問題：非同一IDC的服務，會給訪問速度帶來嚴重影響，維護也麻煩。客戶：我為什么不選擇那家有WAF服務的IDC?遷移。
• 方案3：不防了，裸奔算了。問題：客戶會顧慮重重，說不定哪天就被網安查了，要么，干脆不要這站了。

以上，如果不提供WAF，IDC會相當被動，將面臨：已有客戶流失，未來客戶越來越少，甚至無法生存下去。

所以，IDC必須有WAF!如何才能有呢?

IDC如何實現WAF功能?

[[324721]]

(1) 自研

適合有技術實力、有安全知識儲備的IDC。

WAF領域，門檻較高，需要足夠的技術儲備和不短的開發測試周期。

(2) 合作

跟國內的WAF方合作，由WAF方提供產品(或OEM)或技術支持。比如：ShareWAF，就提供這種服務，也有與IDC共建云WAF的經驗。

(3) 收購WAF

資金充足產的IDC可以嘗試收購成熟的WAF產品，以金錢換時間，一步到位。

總結

網絡安全就是國家安全，網絡的主體是網站，網站安全了，網絡就安全了!這是國家層面的策略。

做為網絡環境的極重要一環：IDC，提供安全，理情之中。

等保2.0之下，這或許會是IDC行業洗牌的開始，是風險，也是機遇。