移动设备目前已经大行其道，其移动APP服务器的安全基本上是用传统的Web应用防火墙(WAF)或是入侵防护设备(IPS)来防护。而且，移动安全的关注点主要集中在移动设备本身，移动APP服务器端的解决方案非常少。于是，MAF（移动应用防火墙）出现了。在昨天举行的WOT大会上，盛邦安全副总裁严雷发布了MAF的产品理念。

移动应用服务器面临的三个问题

一是APP劫持在国内互联网环境下广泛存在，例如插入和替换广告、内容篡改、钓鱼重定向、内容监听等。还有盗取资产、虚假身份、剪羊毛和外挂工具等欺诈行为普遍，最后是DDOS攻击，因为在APP与API的场景下，“验证码”、“重定向”一类的Web端抗D方式失去效用。而且由于HTTPS的应用，流量被加密，性能开销大，也给传统的抗D手段带来困难。

二是在通讯方面，目前许多APP都已经采用HTTPS加密，但种种原因导致无法在服务器端做加密模块，因此许多机构选择使用VPN做为安全解决方案。但VPN也有一个问题，当用户数量增大时，VPN的成本太大。

三是移动APP的速度问题。2g/3g/4g传输特性不同，公共Wifi不稳定，DNS解析过慢，网络封堵、Payload过大，跨运营商、地域和跨网络等种种问题导致APP的体验上速度变慢。

MAF防火墙解决什么样的问题？

MAF最突出的特点就是通过代码替换、代码注入等技术，防扫描、外挂、劫持等攻击行为，改变保护对象的形态，彻底隐藏一切外部技术特征。在每次服务器被访问时，这些特征都会发生无规律的变化，使得传统的扫描、探测手段失效，以保证数据传输安全，盛邦将其命名为“幻影”技术。

然后是结合传统的行为分析，对正常业务和典型欺诈进行建模，双向匹配。并通过与威胁情报平台的合作，结合多维度的威胁情报指征(IOC)，以增加对攻击行为的判断准确率。另外，在移动网络速度方面，则对3G/4G的传输协议进行调优和优化提升APP用户体验，优化实际效果提升比例高达200%。

把串行引擎变为并行引擎，从软件架构来看与NGFW的机制非常想像，不同之外在于把某个功能变成一个模块，用多个引擎包括行为分析，某种类型的流量进行为分析，重构一个新产品的需求自此产生，即MAF。

两个不错的问题

MAF理念的发布演讲结束后，严雷还接受了现场问答。

问：既然IPS可以做MAF的事情，为什么还要进行软件重构去做一个新的产品？

答：WAF产生的时候，就有人在问，既然IPS可以做Web应用的防护，为什么还要做一个单独的Web应用防火墙？

问：MAF针对的客户主要有哪些？

答：是那些本身要做APP，而且这个APP不可以放到公有云中，但同时又容易遭受大量攻击的机构，最关键的是这些企业还缺乏足够的安全运维人员应对攻击。如银行、医院、出版社、政府部门等。