選購WAF，Gartner這幾條建議很重要

更多全球網路安全資訊盡在E安全官網www.easyaq.com

Web應用防火牆（簡稱「WAF」）是很多互聯網企業及網站Web防禦體系的重要一環，承擔了抵禦常見Web攻擊的任務，如同大廈的保安一樣默默工作，構成Web業務安全的第一道防線。

WAF源於傳統的網路防火牆，彌補了傳統網路防火牆的天生短板。早在2002年，IDC就曾在報告中指出，「網路防火牆對應用層的安全起不到作用，因為為了確保通信，網路防火牆內的一些埠必須處於開放狀態」。WAF工作在應用層，對Web應用防護具有先天的技術優勢，其功能定位於應用層尤其是Web業務應用的內容檢查和安全防禦，解決針對應用的複雜攻擊，與網路防火牆互為補充，共同構成全面的安全防護體系。

隨著近年來Web應用業務的日益增多，尤其是越來越多的業務通過面向公眾的應用（包括API驅動的移動互聯網應用和物聯網應用）提供各種數字化業務支持，Web應用安全成為越來越多企業的隱憂，WAF市場也隨之迎來爆髮式增長。根據Gartner在2018年度WAF魔力象限報告中預測，2018年全球WAF市場規模為8.53億美元（約59億人民幣），比2017年增長11.9%，其中亞太地區市場份額佔全球的21.2%，比2017年增長13.5%，高於全球平均增長水平。

與市場爆發隨之而來的是各大安全廠商逐鹿Web應用安全市場，各類WAF產品如雨後春筍版入市。Gartner分析師在2018年度WAF魔力象限報告中指出，當前全球WAF市場呈現出以下幾個趨勢：

1.預計物理設備採購及應用交付控制器（ADC）設備上的WAF模塊將會逐漸減少，大部分廠商的出貨量都會降低；

2.雲WAF服務持續穩定增長，2017年超過35%的WAF市場份額來自於雲WAF。純雲端解決方案開始與老牌廠商爭奪市場，IaaS服務商開始搶灘WAF市場。

3.越來越多的組織使用雲WAF滿足應用需求，也有一些組織傾向於在本地及IaaS上使用相同WAF設備/功能的保守方式。此外，一些組織的戰略路線圖中開始出現多雲戰略，進一步催生統一管理和報表的需求。

儘管雲WAF這兩年發展勢頭迅猛，但現在斷言云WAF彎道超車實現後來居上為時尚早。選擇雲WAF服務和WAF設備的客戶對WAF產品有不同的預期：

1.選擇雲WAF的組織通常期望的是簡單易部署、易操作的「全家桶」功能，被pick最多的典型功能包括DDoS防護、bot管理和CDN。這類客戶對安全控制的深度、配置選項的細粒度要求更高，但迫於時間壓力需要快速部署WAF；

2.選擇WAF設備（物理或虛擬化設備）的組織很可能已經部署了WAF，他們在主動安全模型、高級安全模型及WAF在事件響應工作流程中的集成等方面有更高預期。

在選擇WAF部署方案時，客戶會權衡雲WAF及WAF設備之間的利弊後作出決策，短期內二者將會是此消彼長相互PK的格局。

在選購WAF產品時，除了根據具體業務需求和應用場景確定雲WAF或本地WAF設備部署方案外，Gartner還推薦了一些技術方面的考量：

1.對已知或未知威脅的檢測率和捕獲率；

2.降低漏報誤報，適應不斷發展進化的Web應用；

3.可區分自動化和用戶流量，對這兩類流量都能應用合適的控制措施；

4.藉助簡單易用和最小性能影響的優點，促使WAF得到更廣泛的應用；

5.自動化事件響應工作流程協助Web應用安全分析人員；

6.能同時保護對外的及內部使用的Web應用及API。

亞太區的WAF市場具有一定的獨特性。就此，Gartner今年首次發布了亞太區WAF魔力象限報告（Asia/Pacific Context: 『Magic Quadrant for Web Application Firewalls』）。在入圍亞太區報告的16家企業中，既包括Akamai、Imperva這些國際一線WAF廠商，也包括安恆、阿里等中國本土企業。一些國際大廠商已開始在亞太地區通過託管式安全服務（MSSP）的形式提供本地化產品，但這些廠商依然無法滲透亞太地區市場。相較而言，中國地區的廠商具有更好的本地適應性，擁有本地支持中心和雲WAF服務點，這使得它們比其他地區的供應商更能獲得當地客戶的青睞。在選擇WAF廠商時，亞太區客戶尤其關注以下幾點：

1.高性能設備；

2.在其國內的安全運營中心（SOC）及支持中心；

3.以本地語言提供售前售後支持，尤其是在中國、日本和韓國；

4.本地的雲WAF服務節點，尤其是在中國、日本和澳大利亞；

5.安全功能覆蓋該區域的大部分流行Web應用。

Gartner對亞太區客戶採購WAF產品提出以下建議：

1.供應商名錄中既包含本地也包含國際廠商；

2.評估彈性收縮能力、易用性和安全深度；

3.評估供應商提供本地WAF防護的能力，可通過以下途徑評估：

（1）雲WAF在本國內的運營點；

（2）對全球性攻擊、本國攻擊及亞太地區攻擊流量的清洗能力；

（3）本地化語言的管理及監控控制台、技術支持、文檔；

（4）對本地威脅的研究能力，如攻擊處置報告，本地SDK支持；

（5）參考當地的區域行業用戶。

入圍了今年Gartner亞太區WAF魔力象限報告的安恆明御Web應用防火牆（DAS-WAF），是國內首個基於透明代理架構的WAF產品，目前已有十年發展歷史，涵蓋硬體WAF、雲WAF、SaaS WAF三種形態，為用戶提供傳統網路和雲端的安全防護解決方案，已服務於G20杭州峰會、中非合作論壇、歷屆世界互聯網大會、廈門金磚峰會等國家級安保任務和中國銀聯、中信銀行、浦發銀行、交通銀行、平安銀行、國家開發銀行等眾多銀行、企業用戶。DAS-WAF採用智能安全引擎及威脅情報技術，通過主動安全與被動安全相結合方式識別可疑、已知、未知安全威脅，有效保障網站及APP業務安全可靠運行！（安恆信息入圍Gartner 2018年度WAF魔力象限報告亞太版）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！