信息來源：FreeBuf

8 月 7 日，Gartner 發(fā)布 2017 年度 Web 應(yīng)用防火墻（WAF）魔力象限，這是 Gartner 自 2014 年之后連續(xù)第四年發(fā)布此類報(bào)告。報(bào)告中照例描述了全球 WAF 市場(chǎng)整體狀況，并對(duì)主要 WAF 廠商進(jìn)行了詳細(xì)的優(yōu)缺點(diǎn)分析。本年度的 WAF 廠商列表中，國內(nèi)廠商綠盟和啟明星辰也在其中。不過，從詳情來看，這二者似乎并不占優(yōu)勢(shì)，但有較好的發(fā)展?jié)摿Α?/span>

2017 年度全球 WAF 市場(chǎng)狀況及廠商表現(xiàn)如何？WAF 市場(chǎng)未來發(fā)展趨勢(shì)如何？企業(yè)能從報(bào)告中獲得哪些參考？請(qǐng)看下文對(duì)報(bào)告的重點(diǎn)摘錄內(nèi)容。 

摘要

 WAF 全球市場(chǎng)規(guī)模不斷增長，主要是因?yàn)樵絹碓蕉嗟钠髽I(yè)采用基于云的 WAF 服務(wù)。企業(yè)安全團(tuán)隊(duì)可以合理利用這份研究報(bào)告，用于評(píng)估 WAF 如何在滿足數(shù)據(jù)隱私需求的情況下，為企業(yè)提供易于使用和管理的安全服務(wù)。

戰(zhàn)略性規(guī)劃展望

到2020年，在新部署的 WAF 中，獨(dú)立 WAF 硬件設(shè)備所占的比例將從如今的 40% 下降到 20% 以下；

到2020年，50% 以上面向公眾的 Web 應(yīng)用將受到基于云的 WAF 服務(wù)平臺(tái)的保護(hù)，與當(dāng)前不足 20% 的比例相比，有了大幅增加?；谠频?WAF 服務(wù)平臺(tái)兼顧 CDN、分布式拒絕服務(wù)攻擊（DDoS）防御、bot 緩解服務(wù)和 WAF 等功能，能為 Web 應(yīng)用提供更好的安全保護(hù)。

WAF 市場(chǎng)現(xiàn)狀

客戶在本地部署（on-premises 內(nèi)部部署）或遠(yuǎn)程部署（托管式部署、基于云的部署或作為服務(wù)部署）公共和內(nèi)部的 Web 應(yīng)用后，需要采取安保措施，這就催生了 WAF 市場(chǎng)。WAF 可以保護(hù) Web 應(yīng)用和 API 遠(yuǎn)離各種攻擊，尤其是注入攻擊和 DoS 攻擊。WAF 服務(wù)不僅提供基于特征的防護(hù)，還應(yīng)支持主動(dòng)安全模型及/或異常檢測(cè)技術(shù)。

WAF 通常部署在 Web 服務(wù)器的前端，旨在保護(hù) Web 應(yīng)用遠(yuǎn)離內(nèi)部和外部的攻擊、監(jiān)控 Web 應(yīng)用的訪問，同時(shí)收集訪問日志用于合規(guī)/審計(jì)和分析。WAF 最常以反向代理的方式進(jìn)行嵌入式部署，因?yàn)橐酝聪虼硎沁M(jìn)行深入檢測(cè)的唯一途徑?，F(xiàn)在，WAF 可以采用其他部署模式，比如透明代理或網(wǎng)橋。一些 WAF 還可以采用帶外部署模式（即 OOB 或鏡像模式），因而可處理網(wǎng)絡(luò)流量副本。不過，在這些部署模式中，WAF 的每一項(xiàng)功能并非都能發(fā)揮作用；對(duì)許多企業(yè)組織而言，反向代理依然是最流行的部署方式。近些年來，Web 應(yīng)用更多地使用傳輸層安全（TLS）加密――基于利用嵌入式攔截流量（中間人）解密的密碼套件（cipher suite），因而減少了 OOB 部署的數(shù)量。

近年來，除了中型企業(yè)之外，越來越多的其他企業(yè)也開始選擇使用基于云的 WAF 服務(wù)?；谠频?WAF 服務(wù)將基于云的部署與訂閱模式相結(jié)合，選擇了基于云的 WAF 服務(wù)的客戶也可以主動(dòng)選擇廠商附帶提供的管理服務(wù)；當(dāng)然，由于管理服務(wù)是基于云的 WAF 服務(wù)的必要成分，有時(shí)候客戶也不得不選擇這個(gè)附加服務(wù)。部分供應(yīng)商決定充分利用現(xiàn)有的 WAF 解決方案，將其包裝成 SaaS （軟件即服務(wù)），這有助于廠商更加快速地向客戶提供基于云的 WAF 服務(wù)。同時(shí)，相較那些最初就推出云 WAF 服務(wù)的供應(yīng)商，后來才轉(zhuǎn)向云 WAF 的供應(yīng)商借由 SaaS 的一些功能特性進(jìn)行差異化競爭。不過，其面臨的一個(gè)難點(diǎn)在于如何簡化管理和監(jiān)控平臺(tái)以滿足客戶的預(yù)期。

基于云的 WAF 原本就基于多用戶和以云服務(wù)為基礎(chǔ)，從長遠(yuǎn)來看，它可以節(jié)約維護(hù)成本。此外，發(fā)布周期更短、能迅速部署創(chuàng)新功能等也是基于云的 WAF 的優(yōu)勢(shì)。如果用戶使用獨(dú)立開發(fā)的基于云的 WAF 服務(wù)，他們也將面臨一大挑戰(zhàn)，那就是缺少統(tǒng)一的管控平臺(tái)去支持并管理不同的使用場(chǎng)景。

 

Gartner 就 WAF 的應(yīng)用情況與客戶交流，得知有些客戶會(huì)將 WAF 與網(wǎng)絡(luò)防火墻上的應(yīng)用控制功能（應(yīng)用感知）相混淆。WAF 的主要好處就是可以防范企業(yè)開發(fā)的 Web 應(yīng)用代碼中“自己造成的”安全漏洞，同時(shí)防范現(xiàn)成的 Web 應(yīng)用軟件中的安全漏洞。如果不使用 WAF，那些主要用于防范已知 exploit 的其他技術(shù)將無法防范此類漏洞。此外，調(diào)查顯示，針對(duì)這些企業(yè) Web 應(yīng)用的攻擊大多數(shù)來自外部攻擊者。

本年度 WAF 魔力象限報(bào)告包括部署在 Web 應(yīng)用外部、并未直接整合在 Web 服務(wù)器上的 WAF：

專門定制的物理、虛擬或軟件設(shè)備

嵌入在應(yīng)用交付控制器（ADC）中的 WAF 模塊

基于云的 WAF 服務(wù)，包括嵌入在更大平臺(tái)（如 CDN 內(nèi)容分發(fā)網(wǎng)絡(luò)）中的 WAF 模塊

基礎(chǔ)設(shè)施即服務(wù)（IaaS）平臺(tái)上的虛擬設(shè)備，以及 IaaS 廠商提供的WAF服務(wù)

API網(wǎng)關(guān)、bot 管理（包括惡意 bot 防范和善意 bot 白名單機(jī)制）以及 RASP 可以算是 WAF 服務(wù)的競品，可能會(huì)與 WAF 服務(wù)爭奪客戶。這可以激勵(lì) WAF 廠商在合適的時(shí)機(jī)為 WAF 服務(wù)增添競品的功能。例如，基于云的 WAF 服務(wù)可以將 Web 應(yīng)用安全和 DDoS 防護(hù)及 CDN 結(jié)合在一起。WAF 能夠與應(yīng)用安全測(cè)試（AST）、數(shù)據(jù)庫監(jiān)視或 SIEM 等其他企業(yè)安全技術(shù)結(jié)相合，這一特點(diǎn)讓 WAF 在市場(chǎng)上占據(jù)上風(fēng)。WAF 與 ADC、CDN 或 DDoS 防護(hù)云服務(wù)等其他技術(shù)結(jié)合，既能帶來優(yōu)勢(shì)也能帶來挑戰(zhàn)。然而，說到 Web 應(yīng)用安全，市場(chǎng)評(píng)估更側(cè)重于顧客的安全需求。因而，WAF 技術(shù)在以下幾方面的表現(xiàn)就比較重要：

最大限度地提高已知和未知威脅的檢測(cè)率和捕獲率

最大限度地減少誤報(bào)，并且靈活適應(yīng)不斷變化的 Web 應(yīng)用

借助易于使用和影響最小的優(yōu)點(diǎn)，促進(jìn) WAF 得到更廣泛的應(yīng)用

使事件響應(yīng)工作流程實(shí)現(xiàn)自動(dòng)化，協(xié)助 Web 應(yīng)用安全分析員高效工作

保護(hù)面向公眾和內(nèi)部使用的 Web 應(yīng)用及 API

Gartner 認(rèn)真分析了這些功能和創(chuàng)新技術(shù)，檢測(cè)它們提升 Web 應(yīng)用安全的功效。這些功能和技術(shù)的效果應(yīng)當(dāng)超出網(wǎng)絡(luò)防火墻、入侵檢測(cè)系統(tǒng)（IPS）以及開源/免費(fèi) WAF（如 ModSecurity）等通過利用普通簽名規(guī)則集所達(dá)到的安保效果。

2017 WAF 魔力象限

今年的 WAF 魔力象限如上圖所示，其中：

處于 Leader 象限的廠商有： F5、Akamai、Imperva；

處于 Challenger 象限的廠商有： Cloudflare、Citrix、Fortinet、Barracuda Networks；

處于 Niche Players 象限的廠商有：DenyAll、NSFOCUS（綠盟科技）、Venustech（啟明星辰）、Ergon Informatik、Pentagon Security Systems、Amazon Web Services；

處于 Visionarie 象限的廠商的有： Radwarea、Positive Technologies 和 Instart Logic。

注：榜單中的 DenyAll 已被 Rohde & Schwarz Cybersecurity 收購。

此外，由于市場(chǎng)和評(píng)估標(biāo)準(zhǔn)發(fā)生了變化，或者某些廠商的業(yè)務(wù)中心發(fā)生了變化，2017 年度 WAF 魔力象限中的廠商也有所增減。

新增的廠商有：

Amazon Web Services

Instart Logic 

Venustech（啟明星辰）

相較去年未上榜的廠商有：

AdNovum

Trustwave

United Security Providers

以下是 Gartner 針對(duì)國內(nèi) WAF 供應(yīng)商綠盟和啟明星辰的相關(guān)分析：

Gartner 在針對(duì)綠盟的 WAF 能力分析中提到，其主要優(yōu)勢(shì)在于能夠進(jìn)行大規(guī)模環(huán)境的部署，集群部署能力較好；而且企業(yè)有著不錯(cuò)的營銷能力，正在向國際化方向發(fā)展。此外，綠盟有個(gè)大型威脅研究團(tuán)隊(duì)，應(yīng)對(duì)各種最新出現(xiàn)的攻擊；產(chǎn)品誤報(bào)率較低，并且面對(duì)攻擊時(shí)的表現(xiàn)也不錯(cuò)。最后，綠盟的客戶可以將其 WAF 產(chǎn)品和 DDoS 防護(hù)以及 Web 應(yīng)用漏洞掃描器進(jìn)行結(jié)合。

但與此同時(shí)，綠盟最大的軟肋在于并未迎合時(shí)代推出基于云的 WAF 服務(wù)，近期僅發(fā)布了虛擬設(shè)備，可用于阿里云 IaaS 平臺(tái)，還宣布了和 AWS 和 Azure的整合。其它弱勢(shì)還在于海外部署比較少；客戶普遍要求對(duì)報(bào)告、實(shí)時(shí)監(jiān)控和日志模塊進(jìn)行提升，并且缺乏事件的自動(dòng)化分析；沒有使用源來自動(dòng)獲得新的防護(hù)能力；中央管理能力不夠完善，僅提供一些預(yù)定義的管理角色對(duì) WAF 進(jìn)行管理。

啟明星辰和綠盟一樣也位于 Niche Players 象限，其優(yōu)勢(shì)和缺陷在某些問題上也比較相似。比如說其市場(chǎng)和銷售都表現(xiàn)上佳，用戶體驗(yàn)不錯(cuò)——售前售后支持都是客戶持續(xù)使用其 WAF 產(chǎn)品的重要原因。另外其產(chǎn)品從 350Mbps 到 30Gbps 配置都有，在生產(chǎn)環(huán)境中的性能表現(xiàn)好。

弱勢(shì)也表現(xiàn)為啟明星辰未提供云 WAF 服務(wù)，缺乏與 IaaS 平臺(tái)的融合，沒有整合 DDoS 防護(hù)；啟明星辰的 WAF 基本局限在國內(nèi)。此外 Gartner 認(rèn)為啟明星辰的 WAF 客戶超 85% 都是中型規(guī)模企業(yè)組織；同樣其 WAF 也缺乏相應(yīng)的身份認(rèn)證特性，僅限于預(yù)定義的一些管理角色；Gartner 客戶認(rèn)為啟明星辰 WAF 在 SQL 注入防護(hù)方面有待提升，中央化管理等相較最出色的競爭對(duì)手也仍有距離。有關(guān) WAF 產(chǎn)品的更多分析評(píng)價(jià)，可參見 Gartner 原報(bào)告。

報(bào)告背景

Gartner 認(rèn)為，客戶企業(yè)及組織應(yīng)當(dāng)結(jié)合自身需求，綜合考慮每個(gè)象限中廠商，來選擇產(chǎn)品和服務(wù)。事實(shí)上，WAF 市場(chǎng)中有很多供應(yīng)商的 WAF 業(yè)務(wù)只占到所有業(yè)務(wù)的很小一部分。如果客戶需要選擇 WAF 產(chǎn)品或服務(wù)，還需要考慮到自身的特殊需求，如部署方式、部署規(guī)模、合規(guī)、機(jī)密業(yè)務(wù)泄露風(fēng)險(xiǎn)、客戶 Web 應(yīng)用以及廠商的本地支持和市場(chǎng)熟悉程度等。

考慮部署 WAF 的安全管理專家應(yīng)當(dāng)首先考慮自身的部署限制，尤其要考慮以下幾個(gè)方面：

是否能接受在 Web 應(yīng)用中全面部署反向代理類嵌入式 WAF，因?yàn)檫@類 WAF 有屏蔽功能；

考慮不同 WAF 交付（針對(duì)專用應(yīng)用、CDN、ADC以及云服務(wù)等）的優(yōu)勢(shì)和不足；

SSL 解密/再加密及其他擴(kuò)展需求

WAF 市場(chǎng)概覽

據(jù) Gartner 估計(jì)，2016 年 WAF 市場(chǎng)總值約為 6 億 2600 萬美元，與 2015 年相比增長了 21.3%。其中，美洲市場(chǎng)份額占總市場(chǎng)的 43% ，歐洲、中東、非洲三個(gè)地區(qū)總共占 27%，亞洲/太平洋地區(qū)占 29%。

 

WAF 市場(chǎng)發(fā)展趨勢(shì)

Gartner 觀察發(fā)現(xiàn)，WAF 市場(chǎng)有三大發(fā)展趨勢(shì)：

1. 來自 ADC 廠商的物理設(shè)備銷量和 WAF 銷量都在下降；同時(shí)，大部分廠商的銷量都在經(jīng)歷下降或低至個(gè)位百分點(diǎn)的增長；

2.基于云的 WAF 服務(wù)穩(wěn)步增長。預(yù)計(jì)基于云的 WAF 市場(chǎng)目前占整個(gè) 2017 年 WAF 市場(chǎng)的 30% 以上。最初就做云 WAF 解決方案的供應(yīng)商相較于傳統(tǒng)供應(yīng)商具備更強(qiáng)的競爭力。在調(diào)查中，IaaS 廠商較少，但他們也提供 WAF 服務(wù)；

3.前些年，WAF 領(lǐng)域并沒有多少創(chuàng)新技術(shù)，也很少利用機(jī)器學(xué)習(xí)——即便是現(xiàn)在也很少有 WAF 利用機(jī)器學(xué)習(xí)技術(shù)（未來，WAF 市場(chǎng)也許會(huì)更多利用機(jī)器學(xué)習(xí)技術(shù)）。此外，大部分 WAF 廠商仍缺乏更高級(jí)的分析方法，需要進(jìn)一步學(xué)習(xí)或創(chuàng)新。

Gartner 估計(jì)，2018 年會(huì)是 WAF 市場(chǎng)變革的巔峰之年，因?yàn)榛谠频?WAF 服務(wù)雖然收益有所下降，但目前已經(jīng)可以撐起全球 WAF 市場(chǎng)。

大規(guī)模 WAF 部署十分復(fù)雜，這也是 WAF 與其他云服務(wù)相比的不足之處。但是，除了內(nèi)部部署所帶來的安全保護(hù)之外， WAF 廠商有更多的選擇，他們可以在虛擬設(shè)備等方面提供 WAF 保護(hù)，這在企業(yè)評(píng)估中是一項(xiàng)優(yōu)勢(shì)。

WAF 未來將有更健康的發(fā)展

基于用戶調(diào)查結(jié)果，最常使用 WAF 服務(wù)的應(yīng)用如下：

企業(yè)網(wǎng)站（78%）

電商元件（66%）

客戶門戶（63%）

WAF 市場(chǎng)未來仍有增長的潛力。根據(jù) Gartner 最近針對(duì) Web 應(yīng)用程序安全的調(diào)查，WAF 仍然是 Web 應(yīng)用程序最常用的的安全保護(hù)方案（84％），其次是企業(yè) IPS（61％）和應(yīng)用程序安全測(cè)試（58 ％）。大型企業(yè)可能將其面向公眾的 Web 應(yīng)用程序分級(jí)，其中最關(guān)鍵的應(yīng)用程序（一級(jí)）需要更嚴(yán)格的安全控制，需要花費(fèi)更高的預(yù)算來確保安全；而其他應(yīng)用程序（二級(jí)和三級(jí)）更有可能因?yàn)橛邢薜陌踩A(yù)算和資源而出現(xiàn)安全問題并遭受損失。同時(shí)， 研究人員發(fā)現(xiàn)，部署在內(nèi)部 Web 應(yīng)用程序前端的 WAF 數(shù)量更少。

調(diào)查結(jié)果顯示，保護(hù)企業(yè) Web 應(yīng)用程序的最有效技術(shù)和流程中，WAF 處于首位（73％），應(yīng)用程序安全測(cè)試（53％）排名第二。Verizon 數(shù)據(jù)泄露調(diào)查報(bào)告等行業(yè)報(bào)告也表明，攻擊網(wǎng)絡(luò)應(yīng)用程序是導(dǎo)致數(shù)據(jù)泄露的最主要入侵手段，因此，需要提高人們對(duì)市場(chǎng)中 Web 應(yīng)用程序安全風(fēng)險(xiǎn)的意識(shí)。

WAF 正從物理設(shè)備轉(zhuǎn)向基于云的 WAF 服務(wù)

展望未來，WAF 物理設(shè)備的前景似乎并不光明：

首先，Web 應(yīng)用所面臨的首要入侵手段就是涉及第三方信用入侵的憑證竊取，而 WAF 物理設(shè)備仍然對(duì)此束手無策；

其次，基于云的 WAF 服務(wù)廠商可以提供針對(duì)安全管控的遠(yuǎn)程托管應(yīng)用和提升服務(wù)，這類應(yīng)用和服務(wù)越來越多，導(dǎo)致 WAF 物理設(shè)備曾經(jīng)的優(yōu)勢(shì)越來越小。

在 Gartner 的企業(yè)應(yīng)用程序安全研究中，參與者最常用的企業(yè) Web 應(yīng)用程序部署方法仍然是內(nèi)部部署（51％），其他部署方式為：私有云占 26％，IaaS 占 16％，SaaS 占 7％。

開發(fā)方法也在改變：越來越多的應(yīng)用程序利用敏捷方法進(jìn)行開發(fā)。參與調(diào)查的人員中有 60% 經(jīng)常使用敏捷方法進(jìn)行移動(dòng)應(yīng)用后端開發(fā)。 Gartner 最近對(duì) IT 專業(yè)人士的 DevOps 調(diào)查也證實(shí)了這一點(diǎn)：只有 28％ 的受訪組織尚未使用 DevOps。

此外，內(nèi)部因素（如領(lǐng)域缺乏創(chuàng)新等）使得 WAF 物理設(shè)備急劇減少。一些供應(yīng)商正在嘗試分配其研發(fā)資源，以更新舊版設(shè)備技術(shù)、支持更新的標(biāo)準(zhǔn)（HTTP 2.0，JSON有效負(fù)載分析等），同時(shí)啟動(dòng)基于云的 WAF 服務(wù)計(jì)劃。

客戶反饋表明，WAF 物理設(shè)備最常見的挑戰(zhàn)是大量的部署和運(yùn)營工作。60％ 的經(jīng)銷商表示，未來他們有可能出售更多的 WAF 云服務(wù)，而 54％ 的經(jīng)銷商則表示他們未來可能銷售更多的 WAF 技術(shù)管理服務(wù)。Gartner 對(duì)客戶的調(diào)查表明，安全管理人員對(duì)基于云的 WAF 服務(wù)的興趣明顯增加，主要是因?yàn)榛谠频?WAF 可以減少部署和運(yùn)營工作量。他們喜歡管理服務(wù)這個(gè)設(shè)想，但同時(shí)也擔(dān)心相關(guān)的成本，還擔(dān)心管理多個(gè)安全服務(wù)供應(yīng)商會(huì)帶來許多復(fù)雜工作。

應(yīng)用安全的 Leader 們認(rèn)為， Web 應(yīng)用程序安全領(lǐng)域的碎片化問題很難解決?；谠频?WAF 服務(wù)恰巧有望解決這個(gè)問題，因?yàn)檫@種服務(wù)更容易部署、通常將多種功能集中在一個(gè)訂閱業(yè)務(wù)中，而且更加安全。

移動(dòng)應(yīng)用安全和新興 IoT 等應(yīng)用或服務(wù)非常適合使用基于云的 WAF 服務(wù)來保護(hù)安全。但是 IoT、單頁和移動(dòng)應(yīng)用在客戶端都有很多的實(shí)現(xiàn)方式。如果 WAF 不與時(shí)俱進(jìn)，就無法在這些領(lǐng)域取得發(fā)展。

來自專業(yè)供應(yīng)商的服務(wù)（如 Distil Networks 和 Shape Security 針對(duì) bot 的解決方案），以及利用新供應(yīng)商（如 Signal Sciences）的檢測(cè)和/或保護(hù)技術(shù)的其他安全解決方案都將給基于云的 WAF 服務(wù)帶來巨大挑戰(zhàn)。

更多詳情請(qǐng)可以點(diǎn)擊這里查看報(bào)告原文