WAF 是Web Application Firewall (Web应用防火墙/网站应用防火墙)的缩写,这个可能大家都知道了。那 WAAP 又是什么?这是Gartner在2021年9月发布的WAF魔力象限报告提出的新词,报告说这是WAF的升级产品,是Web Application and API Protection (Web应用和API保护)的缩写,在WAF功能基础上增加DDoS攻击防护、爬虫管理和API防护。
让我们先看看Gartner的2021年报告预测数据吧:
笔者引用这些预测数据的目的是希望大家能充分认识到云 WAF 对保护网站安全的重要及其发展趋势。零信技术今天推出的第一云服务产品--网站安全云服务是一个集成 https 加密、云WAF 防护和网站可信认证于一体的网站安全解决方案。而云 WAF 防护当然需要基于市场上的成熟产品来集成,我们在云WAF选型时当然是测试了多家云WAF服务提供商的产品,其中阿里云WAF官网介绍“阿里云WAF是国内唯一获得Web应用防火墙大满贯(Gartner、Forrester、IDC、Frost & Sullivan)的产品”,笔者为此还特意搜索了Gartner的WAF魔力象限报告,的确如同阿里云官网宣传-“阿里云入选Gartner 2019 WAF魔力象限,唯一亚太厂商”。笔者查到了原报告的魔力象限图,如下图所示红线名称Alibaba Cloud (阿里云),大家不要介意 “小众玩家(Niche Players)”这个定义,阿里云WAF在中国可不是所谓的“小众玩家”,Gartner把阿里云WAF归到这个类别一点都不奇怪,因为Gartner不是中国公司。
我们测试了阿里云WAF、华为云WAF、腾讯云WAF和京东云 WAF,并计划测试微软云WAF和亚马逊云WAF,从简单易用来看,国产云WAF服务完胜国外云WAF服务,后两家巨头的云WAF服务也提供了免费测试,但是由于不知道如何下手而放弃,不像国内厂商基本上都是一键搞定。
我们重点测试了阿里云WAF,从证签官网上线两个多个月的实际防护效果来看,作为一个用户还是很满意的。其实,Gartner的2021年报告把WAF改叫为WAAP中增加的3个防护功能阿里云WAF也都提供,大家看看阿里云WAF官网上的功能介绍就能看到,也许是阿里云考虑到用户都已经熟悉了WAF这个产品名称,并没有跟着叫WAAP这个新词。下图为证签官网阿里云 WAF 爬虫防护统计图,可以看出实际阻断的数量还是很少的,证明了现在还不是主要威胁。
总之,我们可以从Gartner预测数据可以看出,云WAF服务已经会成为网站安全防护的首选和必选,零信网站安全云服务基于阿里云WAF服务不仅实现了全自动https加密和WAF防护,而且让云WAF服务价格平民化,使得所有网站都用得起云WAF服务,一定会加速云WAF服务的普及应用。所以,我的预测更加乐观,预计到2024年将普及应用云WAF服务。