Gartner 2018年Web应用防火墙魔力象限：独立WAF市场将萎缩

由于企业纷纷采用云Web应用服务器（WAF）服务，WAF市场一路增长。企业的安全团队应利用此研究报告来评估WAF如何提供易于使用和管理的更高安全性，同时满足数据隐私要求。

战略规划假设

到2020年，独立的Web应用防火墙（WAF）硬件设备在新部署的WAF中所占的比例将不到20%，比现在的35%明显减少。

到2023年，30%以上面向公众的Web应用将受到云Web应用和API保护（WAAP）服务的保护，这种服务结合了分布式拒绝服务（DDoS）保护、机器人程序应对、API保护和WAF，而今天这个比例不到10%。

市场定义/描述

客户需要保护公共和内部的Web应用，因此推动了Web应用防火墙（WAF）市场。 WAF可保护Web应用和API免受各种攻击，包括自动化攻击（机器人程序）、注入攻击和应用层拒绝服务（DoS）。它们应提供基于特征的保护，还应支持积极的安全模型（自动白名单）及/或异常检测。

WAF部署在Web服务器的前面，保护Web应用免受内外攻击、监控对Web应用的访问以及收集访问日志用于合规/审计和分析。WAF以物理或虚拟设备的形式存在，日益从云端以服务（云WAF服务）这种方式来提供。WAF最常采用嵌入式部署，作为反向代理，因为以往这是执行一些深入检查的唯一方法。还有其他部署方案。云WAF服务的兴起、有意作为反向代理来执行任务以及采用更新颖的需要解密嵌入式流量拦截（中间人攻击）的传输层安全（TLS）套件，这些都加大了反向代理的使用。

云WAF服务将由云交付的XX即服务部署与订阅模式结合起来。云WAF服务提供商可以提供托管服务；对于一些客户来说，它是使用WAF的必备组件。一些供应商选择利用现有的WAF解决方案，将其重新包装成SaaS。这使供应商能够更快地向客户提供云WAF服务，而且可以利用现有功能，有别于功能特性相对有限的云原生WAF服务产品。这种方法的一个难点是简化管理和监控控制台，继承全面的WAF设备功能特性，以满足客户对易用性的期望，又不缩小安全范围。Gartner将云Web应用和API保护（云WAAP）服务定义为现有云WAF服务的演进。从长远来看，云WAF服务一开始就采用多租户模式、以云为中心，避免了花高昂的成本来维护遗留代码。它们还提供竞争优势，更快的发布周期，迅速实施创新的功能。一些企业使用由WAF设备构建的云WAF服务，这么做是为了获得统一的管理和报告控制台。

该魔力象限包括部署在Web应用程序外部而不直接集成到Web服务器上的WAF：

• 专用的物理、虚拟或软件设备。

• 嵌入在应用交付控制器（ADC）中的WAF模块。

• 云WAF服务，包括嵌入在较大云平台中的WAF模块（比如内容交付网络，CDN），以及直接从基础设施即服务（IaaS）平台交付的云WAF服务。

• IaaS平台上提供的虚拟设备，以及来自IaaS提供商的WAF解决方案。

API网关和运行时应用自我保护（RASP）是WAF的两个周边市场，可能会争夺同样的应用安全预算。这促使WAF供应商在适当时添加来自这些市场的相关功能。比如说，云WAF服务通常将Web应用安全与DDoS保护和CDN捆绑起来。WAF能够与其他企业安全技术（比如应用安全测试即AST、Web访问管理即WAM或安全信息和事件管理即SIEM）集成起来，这项功能支持它在企业市场的强大地位。将WAF与其他技术（比如ADC、CDN或DDoS缓解云服务）整合带来了独有的优点和挑战。不过说到Web应用安全性，该市场评估更侧重于买家的安全要求。这包括WAF技术如何做到以下：

• 尽量提高已知和未知威胁的检测率和捕获率。

• 尽量减少虚假警报（误报），并适应不断发展的Web应用。

• 可区别自动化流量和人类用户，并对这两类流量实施适当的控制。

• 通过易用性和最小的性能影响确保更广泛的采用。

• 实现事件响应工作流程自动化，帮助Web应用安全分析员。

• 不光保护内部使用的Web应用和API，还保护面向公众的Web应用和API。

Gartner充分利用通用特征规则集，仔细检查了这些功能和创新，以比较它们提高Web应用安全性的功能，并不仅仅局限于网络防火墙、入侵防御系统（IPS）和开源/免费WAF（比如ModSecurity）的功能。

Gartner加强了入围今年Web应用防火墙魔力象限的标准，体现企业在选择WAF提供商时不断变化的要求。经过更新的标准包括要求厂商在本埠之外的区域有最基本的收入，因此一些本地厂商被排除在外。

Web应用防火墙魔力象限，资料来源：Gartner（2017年8月）

Web应用防火墙魔力象限，资料来源：Gartner（2018年8月）

新增和跌出的厂商

Gartner更新了入围标准，以体现企业更苛严的要求。变化的一方面是这个新要求：厂商在本埠之外也要有客户群。

新增的厂商：

• 微软（Azure）

• Oracle（收购了Zenedge）

跌出的厂商：

由于经过更新、要求更高的入围标准，NSFOCUS、Penta Security、Positive Technologies和Venustech等厂商跌出了象限。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。