信息来源：FreeBuf

8 月 7 日，Gartner 发布 2017 年度 Web 应用防火墙（WAF）魔力象限，这是 Gartner 自 2014 年之后连续第四年发布此类报告。报告中照例描述了全球 WAF 市场整体状况，并对主要 WAF 厂商进行了详细的优缺点分析。本年度的 WAF 厂商列表中，国内厂商绿盟和启明星辰也在其中。不过，从详情来看，这二者似乎并不占优势，但有较好的发展潜力。

2017 年度全球 WAF 市场状况及厂商表现如何？WAF 市场未来发展趋势如何？企业能从报告中获得哪些参考？请看下文对报告的重点摘录内容。 

摘要

 WAF 全球市场规模不断增长，主要是因为越来越多的企业采用基于云的 WAF 服务。企业安全团队可以合理利用这份研究报告，用于评估 WAF 如何在满足数据隐私需求的情况下，为企业提供易于使用和管理的安全服务。

战略性规划展望

到2020年，在新部署的 WAF 中，独立 WAF 硬件设备所占的比例将从如今的 40% 下降到 20% 以下；

到2020年，50% 以上面向公众的 Web 应用将受到基于云的 WAF 服务平台的保护，与当前不足 20% 的比例相比，有了大幅增加。基于云的 WAF 服务平台兼顾 CDN、分布式拒绝服务攻击（DDoS）防御、bot 缓解服务和 WAF 等功能，能为 Web 应用提供更好的安全保护。

WAF 市场现状

客户在本地部署（on-premises 内部部署）或远程部署（托管式部署、基于云的部署或作为服务部署）公共和内部的 Web 应用后，需要采取安保措施，这就催生了 WAF 市场。WAF 可以保护 Web 应用和 API 远离各种攻击，尤其是注入攻击和 DoS 攻击。WAF 服务不仅提供基于特征的防护，还应支持主动安全模型及/或异常检测技术。

WAF 通常部署在 Web 服务器的前端，旨在保护 Web 应用远离内部和外部的攻击、监控 Web 应用的访问，同时收集访问日志用于合规/审计和分析。WAF 最常以反向代理的方式进行嵌入式部署，因为以往反向代理是进行深入检测的唯一途径。现在，WAF 可以采用其他部署模式，比如透明代理或网桥。一些 WAF 还可以采用带外部署模式（即 OOB 或镜像模式），因而可处理网络流量副本。不过，在这些部署模式中，WAF 的每一项功能并非都能发挥作用；对许多企业组织而言，反向代理依然是最流行的部署方式。近些年来，Web 应用更多地使用传输层安全（TLS）加密――基于利用嵌入式拦截流量（中间人）解密的密码套件（cipher suite），因而减少了 OOB 部署的数量。

近年来，除了中型企业之外，越来越多的其他企业也开始选择使用基于云的 WAF 服务。基于云的 WAF 服务将基于云的部署与订阅模式相结合，选择了基于云的 WAF 服务的客户也可以主动选择厂商附带提供的管理服务；当然，由于管理服务是基于云的 WAF 服务的必要成分，有时候客户也不得不选择这个附加服务。部分供应商决定充分利用现有的 WAF 解决方案，将其包装成 SaaS （软件即服务），这有助于厂商更加快速地向客户提供基于云的 WAF 服务。同时，相较那些最初就推出云 WAF 服务的供应商，后来才转向云 WAF 的供应商借由 SaaS 的一些功能特性进行差异化竞争。不过，其面临的一个难点在于如何简化管理和监控平台以满足客户的预期。

基于云的 WAF 原本就基于多用户和以云服务为基础，从长远来看，它可以节约维护成本。此外，发布周期更短、能迅速部署创新功能等也是基于云的 WAF 的优势。如果用户使用独立开发的基于云的 WAF 服务，他们也将面临一大挑战，那就是缺少统一的管控平台去支持并管理不同的使用场景。

 

Gartner 就 WAF 的应用情况与客户交流，得知有些客户会将 WAF 与网络防火墙上的应用控制功能（应用感知）相混淆。WAF 的主要好处就是可以防范企业开发的 Web 应用代码中“自己造成的”安全漏洞，同时防范现成的 Web 应用软件中的安全漏洞。如果不使用 WAF，那些主要用于防范已知 exploit 的其他技术将无法防范此类漏洞。此外，调查显示，针对这些企业 Web 应用的攻击大多数来自外部攻击者。

本年度 WAF 魔力象限报告包括部署在 Web 应用外部、并未直接整合在 Web 服务器上的 WAF：

专门定制的物理、虚拟或软件设备

嵌入在应用交付控制器（ADC）中的 WAF 模块

基于云的 WAF 服务，包括嵌入在更大平台（如 CDN 內容分发网络）中的 WAF 模块

基础设施即服务（IaaS）平台上的虚拟设备，以及 IaaS 厂商提供的WAF服务

API网关、bot 管理（包括恶意 bot 防范和善意 bot 白名单机制）以及 RASP 可以算是 WAF 服务的竞品，可能会与 WAF 服务争夺客户。这可以激励 WAF 厂商在合适的时机为 WAF 服务增添竞品的功能。例如，基于云的 WAF 服务可以将 Web 应用安全和 DDoS 防护及 CDN 结合在一起。WAF 能够与应用安全测试（AST）、数据库监视或 SIEM 等其他企业安全技术结相合，这一特点让 WAF 在市场上占据上风。WAF 与 ADC、CDN 或 DDoS 防护云服务等其他技术结合，既能带来优势也能带来挑战。然而，说到 Web 应用安全，市场评估更侧重于顾客的安全需求。因而，WAF 技术在以下几方面的表现就比较重要：

最大限度地提高已知和未知威胁的检测率和捕获率

最大限度地减少误报，并且灵活适应不断变化的 Web 应用

借助易于使用和影响最小的优点，促进 WAF 得到更广泛的应用

使事件响应工作流程实现自动化，协助 Web 应用安全分析员高效工作

保护面向公众和内部使用的 Web 应用及 API

Gartner 认真分析了这些功能和创新技术，检测它们提升 Web 应用安全的功效。这些功能和技术的效果应当超出网络防火墙、入侵检测系统（IPS）以及开源/免费 WAF（如 ModSecurity）等通过利用普通签名规则集所达到的安保效果。

2017 WAF 魔力象限

今年的 WAF 魔力象限如上图所示，其中：

处于 Leader 象限的厂商有： F5、Akamai、Imperva；

处于 Challenger 象限的厂商有： Cloudflare、Citrix、Fortinet、Barracuda Networks；

处于 Niche Players 象限的厂商有：DenyAll、NSFOCUS（绿盟科技）、Venustech（启明星辰）、Ergon Informatik、Pentagon Security Systems、Amazon Web Services；

处于 Visionarie 象限的厂商的有： Radwarea、Positive Technologies 和 Instart Logic。

注：榜单中的 DenyAll 已被 Rohde & Schwarz Cybersecurity 收购。

此外，由于市场和评估标准发生了变化，或者某些厂商的业务中心发生了变化，2017 年度 WAF 魔力象限中的厂商也有所增减。

新增的厂商有：

Amazon Web Services

Instart Logic 

Venustech（启明星辰）

相较去年未上榜的厂商有：

AdNovum

Trustwave

United Security Providers

以下是 Gartner 针对国内 WAF 供应商绿盟和启明星辰的相关分析：

Gartner 在针对绿盟的 WAF 能力分析中提到，其主要优势在于能够进行大规模环境的部署，集群部署能力较好；而且企业有着不错的营销能力，正在向国际化方向发展。此外，绿盟有个大型威胁研究团队，应对各种最新出现的攻击；产品误报率较低，并且面对攻击时的表现也不错。最后，绿盟的客户可以将其 WAF 产品和 DDoS 防护以及 Web 应用漏洞扫描器进行结合。

但与此同时，绿盟最大的软肋在于并未迎合时代推出基于云的 WAF 服务，近期仅发布了虚拟设备，可用于阿里云 IaaS 平台，还宣布了和 AWS 和 Azure的整合。其它弱势还在于海外部署比较少；客户普遍要求对报告、实时监控和日志模块进行提升，并且缺乏事件的自动化分析；没有使用源来自动获得新的防护能力；中央管理能力不够完善，仅提供一些预定义的管理角色对 WAF 进行管理。

启明星辰和绿盟一样也位于 Niche Players 象限，其优势和缺陷在某些问题上也比较相似。比如说其市场和销售都表现上佳，用户体验不错——售前售后支持都是客户持续使用其 WAF 产品的重要原因。另外其产品从 350Mbps 到 30Gbps 配置都有，在生产环境中的性能表现好。

弱势也表现为启明星辰未提供云 WAF 服务，缺乏与 IaaS 平台的融合，没有整合 DDoS 防护；启明星辰的 WAF 基本局限在国内。此外 Gartner 认为启明星辰的 WAF 客户超 85% 都是中型规模企业组织；同样其 WAF 也缺乏相应的身份认证特性，仅限于预定义的一些管理角色；Gartner 客户认为启明星辰 WAF 在 SQL 注入防护方面有待提升，中央化管理等相较最出色的竞争对手也仍有距离。有关 WAF 产品的更多分析评价，可参见 Gartner 原报告。

报告背景

Gartner 认为，客户企业及组织应当结合自身需求，综合考虑每个象限中厂商，来选择产品和服务。事实上，WAF 市场中有很多供应商的 WAF 业务只占到所有业务的很小一部分。如果客户需要选择 WAF 产品或服务，还需要考虑到自身的特殊需求，如部署方式、部署规模、合规、机密业务泄露风险、客户 Web 应用以及厂商的本地支持和市场熟悉程度等。

考虑部署 WAF 的安全管理专家应当首先考虑自身的部署限制，尤其要考虑以下几个方面：

是否能接受在 Web 应用中全面部署反向代理类嵌入式 WAF，因为这类 WAF 有屏蔽功能；

考虑不同 WAF 交付（针对专用应用、CDN、ADC以及云服务等）的优势和不足；

SSL 解密/再加密及其他扩展需求

WAF 市场概览

据 Gartner 估计，2016 年 WAF 市场总值约为 6 亿 2600 万美元，与 2015 年相比增长了 21.3%。其中，美洲市场份额占总市场的 43% ，欧洲、中东、非洲三个地区总共占 27%，亚洲/太平洋地区占 29%。

 

WAF 市场发展趋势

Gartner 观察发现，WAF 市场有三大发展趋势：

1. 来自 ADC 厂商的物理设备销量和 WAF 销量都在下降；同时，大部分厂商的销量都在经历下降或低至个位百分点的增长；

2.基于云的 WAF 服务稳步增长。预计基于云的 WAF 市场目前占整个 2017 年 WAF 市场的 30% 以上。最初就做云 WAF 解决方案的供应商相较于传统供应商具备更强的竞争力。在调查中，IaaS 厂商较少，但他们也提供 WAF 服务；

3.前些年，WAF 领域并没有多少创新技术，也很少利用机器学习——即便是现在也很少有 WAF 利用机器学习技术（未来，WAF 市场也许会更多利用机器学习技术）。此外，大部分 WAF 厂商仍缺乏更高级的分析方法，需要进一步学习或创新。

Gartner 估计，2018 年会是 WAF 市场变革的巅峰之年，因为基于云的 WAF 服务虽然收益有所下降，但目前已经可以撑起全球 WAF 市场。

大规模 WAF 部署十分复杂，这也是 WAF 与其他云服务相比的不足之处。但是，除了内部部署所带来的安全保护之外， WAF 厂商有更多的选择，他们可以在虚拟设备等方面提供 WAF 保护，这在企业评估中是一项优势。

WAF 未来将有更健康的发展

基于用户调查结果，最常使用 WAF 服务的应用如下：

企业网站（78%）

电商元件（66%）

客户门户（63%）

WAF 市场未来仍有增长的潜力。根据 Gartner 最近针对 Web 应用程序安全的调查，WAF 仍然是 Web 应用程序最常用的的安全保护方案（84％），其次是企业 IPS（61％）和应用程序安全测试（58 ％）。大型企业可能将其面向公众的 Web 应用程序分级，其中最关键的应用程序（一级）需要更严格的安全控制，需要花费更高的预算来确保安全；而其他应用程序（二级和三级）更有可能因为有限的安全预算和资源而出现安全问题并遭受损失。同时， 研究人员发现，部署在内部 Web 应用程序前端的 WAF 数量更少。

调查结果显示，保护企业 Web 应用程序的最有效技术和流程中，WAF 处于首位（73％），应用程序安全测试（53％）排名第二。Verizon 数据泄露调查报告等行业报告也表明，攻击网络应用程序是导致数据泄露的最主要入侵手段，因此，需要提高人们对市场中 Web 应用程序安全风险的意识。

WAF 正从物理设备转向基于云的 WAF 服务

展望未来，WAF 物理设备的前景似乎并不光明：

首先，Web 应用所面临的首要入侵手段就是涉及第三方信用入侵的凭证窃取，而 WAF 物理设备仍然对此束手无策；

其次，基于云的 WAF 服务厂商可以提供针对安全管控的远程托管应用和提升服务，这类应用和服务越来越多，导致 WAF 物理设备曾经的优势越来越小。

在 Gartner 的企业应用程序安全研究中，参与者最常用的企业 Web 应用程序部署方法仍然是内部部署（51％），其他部署方式为：私有云占 26％，IaaS 占 16％，SaaS 占 7％。

开发方法也在改变：越来越多的应用程序利用敏捷方法进行开发。参与调查的人员中有 60% 经常使用敏捷方法进行移动应用后端开发。 Gartner 最近对 IT 专业人士的 DevOps 调查也证实了这一点：只有 28％ 的受访组织尚未使用 DevOps。

此外，内部因素（如领域缺乏创新等）使得 WAF 物理设备急剧减少。一些供应商正在尝试分配其研发资源，以更新旧版设备技术、支持更新的标准（HTTP 2.0，JSON有效负载分析等），同时启动基于云的 WAF 服务计划。

客户反馈表明，WAF 物理设备最常见的挑战是大量的部署和运营工作。60％ 的经销商表示，未来他们有可能出售更多的 WAF 云服务，而 54％ 的经销商则表示他们未来可能销售更多的 WAF 技术管理服务。Gartner 对客户的调查表明，安全管理人员对基于云的 WAF 服务的兴趣明显增加，主要是因为基于云的 WAF 可以减少部署和运营工作量。他们喜欢管理服务这个设想，但同时也担心相关的成本，还担心管理多个安全服务供应商会带来许多复杂工作。

应用安全的 Leader 们认为， Web 应用程序安全领域的碎片化问题很难解决。基于云的 WAF 服务恰巧有望解决这个问题，因为这种服务更容易部署、通常将多种功能集中在一个订阅业务中，而且更加安全。

移动应用安全和新兴 IoT 等应用或服务非常适合使用基于云的 WAF 服务来保护安全。但是 IoT、单页和移动应用在客户端都有很多的实现方式。如果 WAF 不与时俱进，就无法在这些领域取得发展。

来自专业供应商的服务（如 Distil Networks 和 Shape Security 针对 bot 的解决方案），以及利用新供应商（如 Signal Sciences）的检测和/或保护技术的其他安全解决方案都将给基于云的 WAF 服务带来巨大挑战。

更多详情请可以点击这里查看报告原文