未来2年，70%用户将选择云WAF防护2022年6月1日

WAF 是Web Application Firewall (Web应用防火墙/网站应用防火墙)的缩写，这个可能大家都知道了。那 WAAP 又是什么？这是Gartner在2021年9月发布的WAF魔力象限报告提出的新词，报告说这是WAF的升级产品，是Web Application and API Protection (Web应用和API保护)的缩写，在WAF功能基础上增加DDoS攻击防护、爬虫管理和API防护。

笔者引用这些预测数据的目的是希望大家能充分认识到云 WAF 对保护网站安全的重要及其发展趋势。零信技术今天推出的第一云服务产品--网站安全云服务是一个集成 https 加密、云WAF 防护和网站可信认证于一体的网站安全解决方案。而云 WAF 防护当然需要基于市场上的成熟产品来集成，我们在云WAF选型时当然是测试了多家云WAF服务提供商的产品，其中阿里云WAF官网介绍“阿里云WAF是国内唯一获得Web应用防火墙大满贯(Gartner、Forrester、IDC、Frost & Sullivan)的产品”，笔者为此还特意搜索了Gartner的WAF魔力象限报告，的确如同阿里云官网宣传-“阿里云入选Gartner 2019 WAF魔力象限，唯一亚太厂商”。笔者查到了原报告的魔力象限图，如下图所示红线名称Alibaba Cloud (阿里云)，大家不要介意 “小众玩家(Niche Players)”这个定义，阿里云WAF在中国可不是所谓的“小众玩家”，Gartner把阿里云WAF归到这个类别一点都不奇怪，因为Gartner不是中国公司。

我们测试了阿里云WAF、华为云WAF、腾讯云WAF和京东云 WAF，并计划测试微软云WAF和亚马逊云WAF，从简单易用来看，国产云WAF服务完胜国外云WAF服务，后两家巨头的云WAF服务也提供了免费测试，但是由于不知道如何下手而放弃，不像国内厂商基本上都是一键搞定。

我们重点测试了阿里云WAF，从证签官网上线两个多个月的实际防护效果来看，作为一个用户还是很满意的。其实，Gartner的2021年报告把WAF改叫为WAAP中增加的3个防护功能阿里云WAF也都提供，大家看看阿里云WAF官网上的功能介绍就能看到，也许是阿里云考虑到用户都已经熟悉了WAF这个产品名称，并没有跟着叫WAAP这个新词。下图为证签官网阿里云 WAF 爬虫防护统计图，可以看出实际阻断的数量还是很少的，证明了现在还不是主要威胁。

总之，我们可以从Gartner预测数据可以看出，云WAF服务已经会成为网站安全防护的首选和必选，零信网站安全云服务基于阿里云WAF服务不仅实现了全自动https加密和WAF防护，而且让云WAF服务价格平民化，使得所有网站都用得起云WAF服务，一定会加速云WAF服务的普及应用。所以，我的预测更加乐观，预计到2024年将普及应用云WAF服务。