信息來源：FreeBuf

8 月 7 日，Gartner 發(fā)布 2017 年度 Web 應(yīng)用防火墻（WAF）魔力象限，這是 Gartner 自 2014 年之后連續(xù)第四年發(fā)布此類報告。報告中照例描述了全球 WAF 市場整體狀況，并對主要 WAF 廠商進行了詳細的優(yōu)缺點分析。本年度的 WAF 廠商列表中，國內(nèi)廠商綠盟和啟明星辰也在其中。不過，從詳情來看，這二者似乎并不占優(yōu)勢，但有較好的發(fā)展?jié)摿Α?/span>

2017 年度全球 WAF 市場狀況及廠商表現(xiàn)如何？WAF 市場未來發(fā)展趨勢如何？企業(yè)能從報告中獲得哪些參考？請看下文對報告的重點摘錄內(nèi)容。 

摘要

 WAF 全球市場規(guī)模不斷增長，主要是因為越來越多的企業(yè)采用基于云的 WAF 服務(wù)。企業(yè)安全團隊可以合理利用這份研究報告，用于評估 WAF 如何在滿足數(shù)據(jù)隱私需求的情況下，為企業(yè)提供易于使用和管理的安全服務(wù)。

戰(zhàn)略性規(guī)劃展望

到2020年，在新部署的 WAF 中，獨立 WAF 硬件設(shè)備所占的比例將從如今的 40% 下降到 20% 以下；

到2020年，50% 以上面向公眾的 Web 應(yīng)用將受到基于云的 WAF 服務(wù)平臺的保護，與當前不足 20% 的比例相比，有了大幅增加?；谠频?WAF 服務(wù)平臺兼顧 CDN、分布式拒絕服務(wù)攻擊（DDoS）防御、bot 緩解服務(wù)和 WAF 等功能，能為 Web 應(yīng)用提供更好的安全保護。

WAF 市場現(xiàn)狀

客戶在本地部署（on-premises 內(nèi)部部署）或遠程部署（托管式部署、基于云的部署或作為服務(wù)部署）公共和內(nèi)部的 Web 應(yīng)用后，需要采取安保措施，這就催生了 WAF 市場。WAF 可以保護 Web 應(yīng)用和 API 遠離各種攻擊，尤其是注入攻擊和 DoS 攻擊。WAF 服務(wù)不僅提供基于特征的防護，還應(yīng)支持主動安全模型及/或異常檢測技術(shù)。

WAF 通常部署在 Web 服務(wù)器的前端，旨在保護 Web 應(yīng)用遠離內(nèi)部和外部的攻擊、監(jiān)控 Web 應(yīng)用的訪問，同時收集訪問日志用于合規(guī)/審計和分析。WAF 最常以反向代理的方式進行嵌入式部署，因為以往反向代理是進行深入檢測的唯一途徑。現(xiàn)在，WAF 可以采用其他部署模式，比如透明代理或網(wǎng)橋。一些 WAF 還可以采用帶外部署模式（即 OOB 或鏡像模式），因而可處理網(wǎng)絡(luò)流量副本。不過，在這些部署模式中，WAF 的每一項功能并非都能發(fā)揮作用；對許多企業(yè)組織而言，反向代理依然是最流行的部署方式。近些年來，Web 應(yīng)用更多地使用傳輸層安全（TLS）加密――基于利用嵌入式攔截流量（中間人）解密的密碼套件（cipher suite），因而減少了 OOB 部署的數(shù)量。

近年來，除了中型企業(yè)之外，越來越多的其他企業(yè)也開始選擇使用基于云的 WAF 服務(wù)。基于云的 WAF 服務(wù)將基于云的部署與訂閱模式相結(jié)合，選擇了基于云的 WAF 服務(wù)的客戶也可以主動選擇廠商附帶提供的管理服務(wù)；當然，由于管理服務(wù)是基于云的 WAF 服務(wù)的必要成分，有時候客戶也不得不選擇這個附加服務(wù)。部分供應(yīng)商決定充分利用現(xiàn)有的 WAF 解決方案，將其包裝成 SaaS （軟件即服務(wù)），這有助于廠商更加快速地向客戶提供基于云的 WAF 服務(wù)。同時，相較那些最初就推出云 WAF 服務(wù)的供應(yīng)商，后來才轉(zhuǎn)向云 WAF 的供應(yīng)商借由 SaaS 的一些功能特性進行差異化競爭。不過，其面臨的一個難點在于如何簡化管理和監(jiān)控平臺以滿足客戶的預(yù)期。

基于云的 WAF 原本就基于多用戶和以云服務(wù)為基礎(chǔ)，從長遠來看，它可以節(jié)約維護成本。此外，發(fā)布周期更短、能迅速部署創(chuàng)新功能等也是基于云的 WAF 的優(yōu)勢。如果用戶使用獨立開發(fā)的基于云的 WAF 服務(wù)，他們也將面臨一大挑戰(zhàn)，那就是缺少統(tǒng)一的管控平臺去支持并管理不同的使用場景。

 

Gartner 就 WAF 的應(yīng)用情況與客戶交流，得知有些客戶會將 WAF 與網(wǎng)絡(luò)防火墻上的應(yīng)用控制功能（應(yīng)用感知）相混淆。WAF 的主要好處就是可以防范企業(yè)開發(fā)的 Web 應(yīng)用代碼中“自己造成的”安全漏洞，同時防范現(xiàn)成的 Web 應(yīng)用軟件中的安全漏洞。如果不使用 WAF，那些主要用于防范已知 exploit 的其他技術(shù)將無法防范此類漏洞。此外，調(diào)查顯示，針對這些企業(yè) Web 應(yīng)用的攻擊大多數(shù)來自外部攻擊者。

本年度 WAF 魔力象限報告包括部署在 Web 應(yīng)用外部、并未直接整合在 Web 服務(wù)器上的 WAF：

專門定制的物理、虛擬或軟件設(shè)備

嵌入在應(yīng)用交付控制器（ADC）中的 WAF 模塊

基于云的 WAF 服務(wù)，包括嵌入在更大平臺（如 CDN 內(nèi)容分發(fā)網(wǎng)絡(luò)）中的 WAF 模塊

基礎(chǔ)設(shè)施即服務(wù)（IaaS）平臺上的虛擬設(shè)備，以及 IaaS 廠商提供的WAF服務(wù)

API網(wǎng)關(guān)、bot 管理（包括惡意 bot 防范和善意 bot 白名單機制）以及 RASP 可以算是 WAF 服務(wù)的競品，可能會與 WAF 服務(wù)爭奪客戶。這可以激勵 WAF 廠商在合適的時機為 WAF 服務(wù)增添競品的功能。例如，基于云的 WAF 服務(wù)可以將 Web 應(yīng)用安全和 DDoS 防護及 CDN 結(jié)合在一起。WAF 能夠與應(yīng)用安全測試（AST）、數(shù)據(jù)庫監(jiān)視或 SIEM 等其他企業(yè)安全技術(shù)結(jié)相合，這一特點讓 WAF 在市場上占據(jù)上風(fēng)。WAF 與 ADC、CDN 或 DDoS 防護云服務(wù)等其他技術(shù)結(jié)合，既能帶來優(yōu)勢也能帶來挑戰(zhàn)。然而，說到 Web 應(yīng)用安全，市場評估更側(cè)重于顧客的安全需求。因而，WAF 技術(shù)在以下幾方面的表現(xiàn)就比較重要：

最大限度地提高已知和未知威脅的檢測率和捕獲率

最大限度地減少誤報，并且靈活適應(yīng)不斷變化的 Web 應(yīng)用

借助易于使用和影響最小的優(yōu)點，促進 WAF 得到更廣泛的應(yīng)用

使事件響應(yīng)工作流程實現(xiàn)自動化，協(xié)助 Web 應(yīng)用安全分析員高效工作

保護面向公眾和內(nèi)部使用的 Web 應(yīng)用及 API

Gartner 認真分析了這些功能和創(chuàng)新技術(shù)，檢測它們提升 Web 應(yīng)用安全的功效。這些功能和技術(shù)的效果應(yīng)當超出網(wǎng)絡(luò)防火墻、入侵檢測系統(tǒng)（IPS）以及開源/免費 WAF（如 ModSecurity）等通過利用普通簽名規(guī)則集所達到的安保效果。

2017 WAF 魔力象限

今年的 WAF 魔力象限如上圖所示，其中：

處于 Leader 象限的廠商有： F5、Akamai、Imperva；

處于 Challenger 象限的廠商有： Cloudflare、Citrix、Fortinet、Barracuda Networks；

處于 Niche Players 象限的廠商有：DenyAll、NSFOCUS（綠盟科技）、Venustech（啟明星辰）、Ergon Informatik、Pentagon Security Systems、Amazon Web Services；

處于 Visionarie 象限的廠商的有： Radwarea、Positive Technologies 和 Instart Logic。

注：榜單中的 DenyAll 已被 Rohde & Schwarz Cybersecurity 收購。

此外，由于市場和評估標準發(fā)生了變化，或者某些廠商的業(yè)務(wù)中心發(fā)生了變化，2017 年度 WAF 魔力象限中的廠商也有所增減。

新增的廠商有：

Amazon Web Services

Instart Logic 

Venustech（啟明星辰）

相較去年未上榜的廠商有：

AdNovum

Trustwave

United Security Providers

以下是 Gartner 針對國內(nèi) WAF 供應(yīng)商綠盟和啟明星辰的相關(guān)分析：

Gartner 在針對綠盟的 WAF 能力分析中提到，其主要優(yōu)勢在于能夠進行大規(guī)模環(huán)境的部署，集群部署能力較好；而且企業(yè)有著不錯的營銷能力，正在向國際化方向發(fā)展。此外，綠盟有個大型威脅研究團隊，應(yīng)對各種最新出現(xiàn)的攻擊；產(chǎn)品誤報率較低，并且面對攻擊時的表現(xiàn)也不錯。最后，綠盟的客戶可以將其 WAF 產(chǎn)品和 DDoS 防護以及 Web 應(yīng)用漏洞掃描器進行結(jié)合。

但與此同時，綠盟最大的軟肋在于并未迎合時代推出基于云的 WAF 服務(wù)，近期僅發(fā)布了虛擬設(shè)備，可用于阿里云 IaaS 平臺，還宣布了和 AWS 和 Azure的整合。其它弱勢還在于海外部署比較少；客戶普遍要求對報告、實時監(jiān)控和日志模塊進行提升，并且缺乏事件的自動化分析；沒有使用源來自動獲得新的防護能力；中央管理能力不夠完善，僅提供一些預(yù)定義的管理角色對 WAF 進行管理。

啟明星辰和綠盟一樣也位于 Niche Players 象限，其優(yōu)勢和缺陷在某些問題上也比較相似。比如說其市場和銷售都表現(xiàn)上佳，用戶體驗不錯——售前售后支持都是客戶持續(xù)使用其 WAF 產(chǎn)品的重要原因。另外其產(chǎn)品從 350Mbps 到 30Gbps 配置都有，在生產(chǎn)環(huán)境中的性能表現(xiàn)好。

弱勢也表現(xiàn)為啟明星辰未提供云 WAF 服務(wù)，缺乏與 IaaS 平臺的融合，沒有整合 DDoS 防護；啟明星辰的 WAF 基本局限在國內(nèi)。此外 Gartner 認為啟明星辰的 WAF 客戶超 85% 都是中型規(guī)模企業(yè)組織；同樣其 WAF 也缺乏相應(yīng)的身份認證特性，僅限于預(yù)定義的一些管理角色；Gartner 客戶認為啟明星辰 WAF 在 SQL 注入防護方面有待提升，中央化管理等相較最出色的競爭對手也仍有距離。有關(guān) WAF 產(chǎn)品的更多分析評價，可參見 Gartner 原報告。

報告背景

Gartner 認為，客戶企業(yè)及組織應(yīng)當結(jié)合自身需求，綜合考慮每個象限中廠商，來選擇產(chǎn)品和服務(wù)。事實上，WAF 市場中有很多供應(yīng)商的 WAF 業(yè)務(wù)只占到所有業(yè)務(wù)的很小一部分。如果客戶需要選擇 WAF 產(chǎn)品或服務(wù)，還需要考慮到自身的特殊需求，如部署方式、部署規(guī)模、合規(guī)、機密業(yè)務(wù)泄露風(fēng)險、客戶 Web 應(yīng)用以及廠商的本地支持和市場熟悉程度等。

考慮部署 WAF 的安全管理專家應(yīng)當首先考慮自身的部署限制，尤其要考慮以下幾個方面：

是否能接受在 Web 應(yīng)用中全面部署反向代理類嵌入式 WAF，因為這類 WAF 有屏蔽功能；

考慮不同 WAF 交付（針對專用應(yīng)用、CDN、ADC以及云服務(wù)等）的優(yōu)勢和不足；

SSL 解密/再加密及其他擴展需求

WAF 市場概覽

據(jù) Gartner 估計，2016 年 WAF 市場總值約為 6 億 2600 萬美元，與 2015 年相比增長了 21.3%。其中，美洲市場份額占總市場的 43% ，歐洲、中東、非洲三個地區(qū)總共占 27%，亞洲/太平洋地區(qū)占 29%。

 

WAF 市場發(fā)展趨勢

Gartner 觀察發(fā)現(xiàn)，WAF 市場有三大發(fā)展趨勢：

1. 來自 ADC 廠商的物理設(shè)備銷量和 WAF 銷量都在下降；同時，大部分廠商的銷量都在經(jīng)歷下降或低至個位百分點的增長；

2.基于云的 WAF 服務(wù)穩(wěn)步增長。預(yù)計基于云的 WAF 市場目前占整個 2017 年 WAF 市場的 30% 以上。最初就做云 WAF 解決方案的供應(yīng)商相較于傳統(tǒng)供應(yīng)商具備更強的競爭力。在調(diào)查中，IaaS 廠商較少，但他們也提供 WAF 服務(wù)；

3.前些年，WAF 領(lǐng)域并沒有多少創(chuàng)新技術(shù)，也很少利用機器學(xué)習(xí)——即便是現(xiàn)在也很少有 WAF 利用機器學(xué)習(xí)技術(shù)（未來，WAF 市場也許會更多利用機器學(xué)習(xí)技術(shù)）。此外，大部分 WAF 廠商仍缺乏更高級的分析方法，需要進一步學(xué)習(xí)或創(chuàng)新。

Gartner 估計，2018 年會是 WAF 市場變革的巔峰之年，因為基于云的 WAF 服務(wù)雖然收益有所下降，但目前已經(jīng)可以撐起全球 WAF 市場。

大規(guī)模 WAF 部署十分復(fù)雜，這也是 WAF 與其他云服務(wù)相比的不足之處。但是，除了內(nèi)部部署所帶來的安全保護之外， WAF 廠商有更多的選擇，他們可以在虛擬設(shè)備等方面提供 WAF 保護，這在企業(yè)評估中是一項優(yōu)勢。

WAF 未來將有更健康的發(fā)展

基于用戶調(diào)查結(jié)果，最常使用 WAF 服務(wù)的應(yīng)用如下：

企業(yè)網(wǎng)站（78%）

電商元件（66%）

客戶門戶（63%）

WAF 市場未來仍有增長的潛力。根據(jù) Gartner 最近針對 Web 應(yīng)用程序安全的調(diào)查，WAF 仍然是 Web 應(yīng)用程序最常用的的安全保護方案（84％），其次是企業(yè) IPS（61％）和應(yīng)用程序安全測試（58 ％）。大型企業(yè)可能將其面向公眾的 Web 應(yīng)用程序分級，其中最關(guān)鍵的應(yīng)用程序（一級）需要更嚴格的安全控制，需要花費更高的預(yù)算來確保安全；而其他應(yīng)用程序（二級和三級）更有可能因為有限的安全預(yù)算和資源而出現(xiàn)安全問題并遭受損失。同時， 研究人員發(fā)現(xiàn)，部署在內(nèi)部 Web 應(yīng)用程序前端的 WAF 數(shù)量更少。

調(diào)查結(jié)果顯示，保護企業(yè) Web 應(yīng)用程序的最有效技術(shù)和流程中，WAF 處于首位（73％），應(yīng)用程序安全測試（53％）排名第二。Verizon 數(shù)據(jù)泄露調(diào)查報告等行業(yè)報告也表明，攻擊網(wǎng)絡(luò)應(yīng)用程序是導(dǎo)致數(shù)據(jù)泄露的最主要入侵手段，因此，需要提高人們對市場中 Web 應(yīng)用程序安全風(fēng)險的意識。

WAF 正從物理設(shè)備轉(zhuǎn)向基于云的 WAF 服務(wù)

展望未來，WAF 物理設(shè)備的前景似乎并不光明：

首先，Web 應(yīng)用所面臨的首要入侵手段就是涉及第三方信用入侵的憑證竊取，而 WAF 物理設(shè)備仍然對此束手無策；

其次，基于云的 WAF 服務(wù)廠商可以提供針對安全管控的遠程托管應(yīng)用和提升服務(wù)，這類應(yīng)用和服務(wù)越來越多，導(dǎo)致 WAF 物理設(shè)備曾經(jīng)的優(yōu)勢越來越小。

在 Gartner 的企業(yè)應(yīng)用程序安全研究中，參與者最常用的企業(yè) Web 應(yīng)用程序部署方法仍然是內(nèi)部部署（51％），其他部署方式為：私有云占 26％，IaaS 占 16％，SaaS 占 7％。

開發(fā)方法也在改變：越來越多的應(yīng)用程序利用敏捷方法進行開發(fā)。參與調(diào)查的人員中有 60% 經(jīng)常使用敏捷方法進行移動應(yīng)用后端開發(fā)。 Gartner 最近對 IT 專業(yè)人士的 DevOps 調(diào)查也證實了這一點：只有 28％ 的受訪組織尚未使用 DevOps。

此外，內(nèi)部因素（如領(lǐng)域缺乏創(chuàng)新等）使得 WAF 物理設(shè)備急劇減少。一些供應(yīng)商正在嘗試分配其研發(fā)資源，以更新舊版設(shè)備技術(shù)、支持更新的標準（HTTP 2.0，JSON有效負載分析等），同時啟動基于云的 WAF 服務(wù)計劃。

客戶反饋表明，WAF 物理設(shè)備最常見的挑戰(zhàn)是大量的部署和運營工作。60％ 的經(jīng)銷商表示，未來他們有可能出售更多的 WAF 云服務(wù)，而 54％ 的經(jīng)銷商則表示他們未來可能銷售更多的 WAF 技術(shù)管理服務(wù)。Gartner 對客戶的調(diào)查表明，安全管理人員對基于云的 WAF 服務(wù)的興趣明顯增加，主要是因為基于云的 WAF 可以減少部署和運營工作量。他們喜歡管理服務(wù)這個設(shè)想，但同時也擔(dān)心相關(guān)的成本，還擔(dān)心管理多個安全服務(wù)供應(yīng)商會帶來許多復(fù)雜工作。

應(yīng)用安全的 Leader 們認為， Web 應(yīng)用程序安全領(lǐng)域的碎片化問題很難解決?；谠频?WAF 服務(wù)恰巧有望解決這個問題，因為這種服務(wù)更容易部署、通常將多種功能集中在一個訂閱業(yè)務(wù)中，而且更加安全。

移動應(yīng)用安全和新興 IoT 等應(yīng)用或服務(wù)非常適合使用基于云的 WAF 服務(wù)來保護安全。但是 IoT、單頁和移動應(yīng)用在客戶端都有很多的實現(xiàn)方式。如果 WAF 不與時俱進，就無法在這些領(lǐng)域取得發(fā)展。

來自專業(yè)供應(yīng)商的服務(wù)（如 Distil Networks 和 Shape Security 針對 bot 的解決方案），以及利用新供應(yīng)商（如 Signal Sciences）的檢測和/或保護技術(shù)的其他安全解決方案都將給基于云的 WAF 服務(wù)帶來巨大挑戰(zhàn)。

更多詳情請可以點擊這里查看報告原文