Gartner的2015魔力象限圖估測，全球Web應用防火墻(WAF)市場估值達4.2億美元，年增幅24%，WAF已成為Web應用當前最流行的預防性和偵測性安全控制措施。

　　必須擁有

支付卡行業數據安全標準(PCI DSS)3.1版要求6.6建議，WAF可被部署為漏洞掃描的替代品。而國際信息系統審計協會(ISACA)的“開發運營從業者注意事項”，將WAF包括進了公司減少開支增加靈活性所需考慮的10大管家安全控制措施當中。

如今，很多大中型公司都提供多種WAF解決方案，通常打包DDoS防護、內容分發網絡(CDN)、應用交付控制器(ADC)和其他相關服務一起提供。亞馬遜Web服務(AWS)最近也啟動了自己的WAF。

Gartner預測，到2020年，超過60%的公共Web應用將受到WAF的保護。然而，2015年，Gartner只將一家廠商Imperva作為業界領袖，兩家廠商DenyAll和 Positive Technologies 作為遠見者，列入了WAF魔力象限圖中。所有其他廠商，要么被當做特定領域者，要么就是挑戰者。更多的WAF廠商因為沒達到入選條件，根本就沒在魔力象限圖中露臉。

問題來了

去年，安全研究員馬辛·艾哈邁德發表了一份技術白皮書，說明幾乎所有流行WAF廠商提供的跨站腳本攻擊(XSS)防護都能被規避。在宣布其封閉和開放漏洞獎勵項目之前，XSSPosed就幾乎每天都在大型網站（包括亞馬遜）上公布新的XSS漏洞，這些是見證魔力象限上提到的幾乎每個WAF是怎樣被安全研究員繞過的絕佳資源。新興的運行時應用“自防護”(RASP)，也能用對付WAF的類似方法規避掉。

信息安全公司 High-Tech Bridge，最近發布了關于名為ModSecurity的白標開源WAF的研究報告，展示了WAF能夠用以修復像“不當訪問控制”或“會話固定”這樣的復雜漏洞。然而，不幸的是，很多商業廠商甚至提供不了ModSecurity一半的技術能力和靈活性來實現虛擬補丁。

不過，High-Tech Bridge 的研究也指出，ModSecurity的開放Web應用安全防護(OWASP)核心規則集(CRS)，在默認配置下也是可以繞過的，而創建定制規則集可能非常復雜且耗費時間。

五大原因

為什么今天的WAF防護經常達不到人們的期望，主要原因有五：

1. 部署疏忽、技能缺乏，以及風險緩解優先級的差異。

很多公司單純是沒有足夠的技術人才來進行WAF配置的日常維護和支持。這一點也不奇怪，他們只是把WAF弄成檢測模式（不封阻任何東西），甚至也不查看日志。

2. 僅僅為了合規才部署。

中小型企業經常是出于應付合規要求才安裝WAF。他們才不關心實際的安全，而且明顯不會在意WAF維護問題。

3. Web應用發展太快種類太多。

今天，幾乎每家公司都有內部或定制Web應用，用不同的編程語言、框架和平臺開發。90年代的CGI腳本搭配使用第三方API和Web服務的復雜AJAXWeb應用的情況也不少見。另外，Web開發者幾乎每天都要升級更新他們的應用來適應業務需求。很明顯，這么一個動態的多樣化的環境，即使最好的WAF加上最有能力的工程師，也很難保護周全。

4. 業務優先級壓過網絡安全。

WAF誤封合法網站用戶的情況幾乎無法避免。通常，在第一起某客戶因無法享受服務怒而轉投競爭對手的事件進入到管理層視線之后，WAF就絕對會被設置成只檢測不動作模式了（至少要到下一次質量體系評定審計）。

5. 無力防護高級Web攻擊。

從設計上，WAF就不能防護未知應用邏輯漏洞，或者需要對應用業務邏輯有著透徹了解的漏洞。很少有創新者會嘗試使用結合了IP信譽、機器學習和行為檢測白名單的增量式規則集來防護此類漏洞。這些東西都需要經過復雜而漫長的學習周期，而且還沒那么靠得住。

難以替代

在企業中部署和維護一個WAF，依然是一項相當復雜的安全控制措施。但WAF可能也是Web應用唯一的預防性安全控制，能大幅降低Web漏洞利用的風險。一個配置良好的WAF，即使是在非常動態且復雜的環境下，也可以防護住大多數常見Web漏洞攻擊（比如XSS和SQL注入）。而且，假若出于某種原因無法修復有漏洞的Web應用源代碼，或者無法應用廠商發布的補丁程序，WAF虛擬補丁也可以充當救命稻草。

盡管如此，也絕不能將WAF當成應對Web攻擊的靈丹妙藥，應當總是輔以其他安全控制措施，比如漏洞掃描、開發者安全培訓，以及持續監測。

在當今這個數字互聯的世界里，網絡攻擊已經成為“新常態”。沒有什么所謂的“靈丹妙藥”，更沒有包治百病的“銀彈”。網絡安全工作是一場旅程，起始于關鍵風險和重要資產的識別，然后再在技術、流程和人員管理之間找到正確的組合。

最后，盡管不足以應對現代Web應用中的復雜安全漏洞，WAF依然是公司內部必要的安全控制措施。