选购WAF，这几条建议很重要

Web应用防火墙（简称“WAF”）是很多互联网企业及网站Web防御体系的重要一环，承担了抵御常见Web攻击的任务，如同大厦的保安一样默默工作，构成Web业务安全的第一道防线。

WAF源于传统的网络防火墙，弥补了传统网络防火墙的天生短板。早在2002年，IDC就曾在报告中指出，“网络防火墙对应用层的安全起不到作用，因为为了确保通信，网络防火墙内的一些端口必须处于开放状态”。WAF工作在应用层，对Web应用防护具有先天的技术优势，其功能定位于应用层尤其是Web业务应用的内容检查和安全防御，解决针对应用的复杂攻击，与网络防火墙互为补充，共同构成全面的安全防护体系。

随着近年来Web应用业务的日益增多，尤其是越来越多的业务通过面向公众的应用（包括API驱动的移动互联网应用和物联网应用）提供各种数字化业务支持，Web应用安全成为越来越多企业的隐忧，WAF市场也随之迎来爆发式增长。根据Gartner在2018年度WAF魔力象限报告中预测，2018年全球WAF市场规模为8.53亿美元（约59亿人民币），比2017年增长11.9%，其中亚太地区市场份额占全球的21.2%，比2017年增长13.5%，高于全球平均增长水平。

与市场爆发随之而来的是各大安全厂商逐鹿Web应用安全市场，各类WAF产品如雨后春笋版入市。Gartner分析师在2018年度WAF魔力象限报告中指出，当前全球WAF市场呈现出以下几个趋势：

1.预计物理设备采购及应用交付控制器（ADC）设备上的WAF模块将会逐渐减少，大部分厂商的出货量都会降低；

2.云WAF服务持续稳定增长，2017年超过35%的WAF市场份额来自于云WAF。纯云端解决方案开始与老牌厂商争夺市场，IaaS服务商开始抢滩WAF市场。

3.越来越多的组织使用云WAF满足应用需求，也有一些组织倾向于在本地及IaaS上使用相同WAF设备/功能的保守方式。此外，一些组织的战略路线图中开始出现多云战略，进一步催生统一管理和报表的需求。

尽管云WAF这两年发展势头迅猛，但现在断言云WAF弯道超车实现后来居上为时尚早。选择云WAF服务和WAF设备的客户对WAF产品有不同的预期：

1.选择云WAF的组织通常期望的是简单易部署、易操作的“全家桶”功能，被pick最多的典型功能包括DDoS防护、bot管理和CDN。这类客户对安全控制的深度、配置选项的细粒度要求更高，但迫于时间压力需要快速部署WAF；

2.选择WAF设备（物理或虚拟化设备）的组织很可能已经部署了WAF，他们在主动安全模型、高级安全模型及WAF在事件响应工作流程中的集成等方面有更高预期。

在选择WAF部署方案时，客户会权衡云WAF及WAF设备之间的利弊后作出决策，短期内二者将会是此消彼长相互PK的格局。

在选购WAF产品时，除了根据具体业务需求和应用场景确定云WAF或本地WAF设备部署方案外，Gartner还推荐了一些技术方面的考量：

1.对已知或未知威胁的检测率和捕获率；

2.降低漏报误报，适应不断发展进化的Web应用；

3.可区分自动化和用户流量，对这两类流量都能应用合适的控制措施；

4.借助简单易用和最小性能影响的优点，促使WAF得到更广泛的应用；

5.自动化事件响应工作流程协助Web应用安全分析人员；

6.能同时保护对外的及内部使用的Web应用及API。

亚太区的WAF市场具有一定的独特性。就此，Gartner今年首次发布了亚太区WAF魔力象限报告（Asia/Pacific Context: ‘Magic Quadrant for Web Application Firewalls’）。在入围亚太区报告的16家企业中，既包括Akamai、Imperva这些国际一线WAF厂商，也包括安恒、阿里等中国本土企业。一些国际大厂商已开始在亚太地区通过托管式安全服务（MSSP）的形式提供本地化产品，但这些厂商依然无法渗透亚太地区市场。相较而言，中国地区的厂商具有更好的本地适应性，拥有本地支持中心和云WAF服务点，这使得它们比其他地区的供应商更能获得当地客户的青睐。在选择WAF厂商时，亚太区客户尤其关注以下几点：

1.高性能设备；

2.在其国内的安全运营中心（SOC）及支持中心；

3.以本地语言提供售前售后支持，尤其是在中国、日本和韩国；

4.本地的云WAF服务节点，尤其是在中国、日本和澳大利亚；

5.安全功能覆盖该区域的大部分流行Web应用。

对亚太区客户采购WAF产品提出以下建议：

1.供应商名录中既包含本地也包含国际厂商；

2.评估弹性收缩能力、易用性和安全深度；

3.评估供应商提供本地WAF防护的能力，可通过以下途径评估：

（1）云WAF在本国内的运营点；

（2）对全球性攻击、本国攻击及亚太地区攻击流量的清洗能力；

（3）本地化语言的管理及监控控制台、技术支持、文档；

（4）对本地威胁的研究能力，如攻击处置报告，本地SDK支持；

（5）参考当地的区域行业用户。