为了更好地探寻新一代WAF的应用价值与发展方向，安全牛根据第十版全景图报告“Web应用安全防护”领域收录结果，特别邀请到安天、电信安全、观安信息、瑞数信息、天融信、云盾智慧、云科安信（排名不分先后，以公司简称首字母序排列）7家国内WAF产品研发与应用领域具有一定代表性厂商，联合启动了《新一代WAF技术应用指南》报告研究工作，从企业组织当前实际的Web应用防护需求入手，深入探寻新一代WAF需具备的能力及新的应用价值点，并围绕用户的系统应用特征，给出新一代WAF产品的部署和选型建议。2023年12月19日，报告正式发布。

报告关键发现

1. 基于报告调研，安全牛提出：新一代WAF是指针对Web应用执行过程中运行安全问题、数据安全问题以及业务安全问题，通过综合数据分析，进行深层防护的一款平台类产品或综合解决方案。与传统WAF产品相比，新一代WAF解决方案需要具有更强大的分析能力、支持对Web应用的多层面防护、支持多形态Web应用防护、可拉通应用层流量数据以及可对应用层进行防护等应用特点。
2. 相比传统的WAF产品，新一代WAF技术对保障Web应用安全的能力提升主要体现在应用层抗D、网页防篡改、API风险监测、数据防泄漏、抗BOT攻击、逻辑反欺诈及内容安全等方面。
3. 在目前我国安全厂商推出的新一代WAF产品中，已经较普遍采用了UEBA、包特征分析、多层协议联动分析、API识别监测等技术，并且已具备了较高的产品可用性。
4. 云化部署或将是新一代WAF未来主流的部署方式。调研发现，目前通过私有云部署的WAF市场规模已经接近硬件WAF市场规模，而以SaaS服务交付的WAF应用目前接受度仍然较低。
5. 调研发现，当前新一代WAF产品对Web应用数据安全、业务安全的支撑能力仍然不足，同时，新一代WAF还需要通过提升联动性，以更好融入企业整体Web应用全周期防护流程当中。
6. 本次调研数据统计，2022年我国WAF（包括WAF和WAAP）产品的市场规模约为24.12亿元，其中新一代WAF的市场规模约为3.99亿元。截至目前，我国新一代WAF约占全部WAF市场的25%，预计在2025年额将超过50%。

新一代WAF创新应用场景

一直以来，WAF都是企业组织开展网络安全建设的最基本要求之一，在防护OWASP TOP10安全、与DLP产品联动应用数据泄漏以及阻止分布式攻击等场景下被广泛应用。由于新一代WAF在分析能力和防护范围等方面有了较大提升，因此可以适用于更多新的应用场景下。

1、远程安全访问场景

RBI（Remote Browser Isolation）远程浏览器隔离技术，让用户不使用本地浏览器直接接入互联网。当用户访问网页时，RBI服务可作为代理，将用户的访问同步到RBI服务器创建的远程浏览器会话中，并向互联网进行访问。在远程安全访问场景中，新一代WAF方案可以起到反向代理的作用，将服务器反馈回的信息反向代理至RBI服务器。反向代理通常作用于应用层，将WAF作为反向代理，能够同时进行连接的分发和安全校验，联动RBI服务器形成双层的防护。

2、内容风控场景

随着互联网内容增加，网络上的信息爆炸增长。互联网内容信息的增长影响着国民的价值观的发展、儿童青少年的成长，甚至影响到我国的政治稳定，因此也广为受到监管部门的关注。新一代WAF内置的内容分析技术，可将内容风控前置至WAF阶段，基于网络的七层协议获取更多的用户信息，并做到联动同一用户的上下行为进行协同分析，跨越了账号、时间的局限性，形成联动分析。

3、业务风控场景

业务欺诈攻击步骤可大致分为三步：首先收集潜在可能的促销网站或者可能有目标客户的秒杀网站，并批量注册账户以躲避单一账户带来的风控可能；其次基于逻辑漏洞或者逻辑攻击行为编写脚本或软件；最后，通过爬虫、探测、重复提交等方式，试探是否有业务攻击的场景，并实施攻击。

基于以上攻击步骤，新一代WAF方案同样可以满足针对业务攻击行为的部分防护需求：

• 以抗BOT、访问验证的方式解决爬虫、秒杀、刷单、刷票等自动化提交行为。
• 基于多层协议联动分析，将批量账号定位到同一源身份，解决同源攻击行为。
• 基于抗BOT、行为分析等方式，判断访问者是否在识别逻辑漏洞，减少逻辑漏洞利用的概率。
• 通过设置访问阈值，阻断批量提交行为。

4、API安全防护场景

API安全防护通常包括API管理和API风险监测。在基于API防护的场景中，新一代WAF主要可用于执行对API行为的检测，并和API管理产品共用一套API的管理清单。新一代WAF主要集中在对API的访问语句是否存在风险、访问者是否合法上。在完成风险识别后，API访问交由API网关判断访问的权限问题，并进一步访问到Web应用服务器当中。

新一代WAF应用需求

根据《安全牛第十版中国网络安全全景图》中的数据，2022年新一代WAF的市场规模约占全部WAF市场的16%。当前，无论是从甲方招标时的要求看，还是从安全厂商的产线布局看，新一代WAF的市场规模均处于扩大的状态。

甲方用户主要对新一代WAF的关注点包括：

• 是否能够通过新一代WAF对API进行监控。
• 是否能够通过新一代WAF抗DDoS。
• 是否能够通过新一代WAF提升数据防泄漏的能力。

针对新一代WAF的应用方式主要包括：

• 从防护对象看，包括防护外网对Web应用的访问行为，以及从内网对中心节点Web应用的访问行为。其中前者关注多源接入方式，而后者更关注私有云环境的接入方式。
• 从部署方式看，包括本地部署、私有云部署为主，SaaS服务交付模式还有待开发。
• 从防护模式看，对多形态访问统一防护、对网页访问或API单一接入模式防护。
• 从防护目标看，包括对Web全域防护、以及对单一威胁的专项防护。

针对不同类型需求，安全牛在《新一代WAF技术应用指南》报告中呈现了相应的案例，为用户实际部署进行参考。

新一代WAF应用建议

为了更好地部署新一代WAF技术，充分发挥其应用价值，企业组织在应用新一代WAF技术前需要考虑是否能够为新一代WAF提供足够的数据来支撑后续的分析工作，如果只能通过旁路部署新一代WAF产品，那么对传统WAF的能力提升将非常有限；同时在部署时，应该优先考虑以云化、服务化或其他易于扩展的方式进行部署，避免分析能力对业务造成的影响。

企业在选择是否应用新一代WAF方案时，可以从API数量、业务交互性、业务访问量以及稳定性需求四个维度进行考量。

• 稳定性需求是用户考虑是否采用新一代WAF的首要因素，如果用户对稳定性需求高，则还是依托传统WAF的关键词匹配的方式最为稳妥，可采用传统WAF联动其他类型产品的方式进行方案式防护。
• 在API数量维度，如果API数量较多、API变更频繁，那么通过采用新一代WAF能够降低基于API攻击的风险。
• 如果用户网站的交互性低，例如只提供信息查询服务、内容发布服务等，针对这类型网站的攻击复杂度低，能够防范典型的爬虫语句、OWASP TOP 10或能够对页面恢复即可，可选择传统WAF防护。
• 如果用户的业务访问量少，那么对WAF的防护压力较低，部署传统的WAF产品性价比更高，如果用户业务访问量特别大，则建议采用负载设备与新一代WAF联动的方案进行部署。

根据以上分析安全牛建议，目前处于上图中心白色区域的企业组织适合继续部署传统的WAF产品，而在选框外部黑色区域的企业组织可以优先部署新一代WAF产品，中间部分则可以根据自身需求进行选择。

新一代WAF代表性厂商分析

为了帮助企业用户进一步了解我国新一代WAF技术的应用状况和发展成果，本次报告依据第十版中国网络安全行业全景图中“Web应用安全防护”细分领域的研究数据，评估并邀请到安天、电信安全、观安信息、瑞数信息、天融信、云盾智慧、云科安信7家新一代WAF技术研发与应用代表性厂商进行了调研访谈，并对其产品的主要能力特点进行了研究和分析。

安天

安天推出的下一代Web应用防护系统具备较强的针对复杂攻击语句以及攻击逻辑的识别能力，可通过业务风险建模、访问行为建模等方式，识别出复杂的攻击行为。同时，产品还可以通过联动RASP等方式对Web应用服务器的行为进行全面防护。

主要特点：

1. 全方位、多流程的自动化攻击防护体系：通过主/被动识别技术可有效地识别自动化攻击的流量，结合对自身业务的安全加固，达到增加业务健壮性的目的。
2. 灵活的业务安全防护体系：基于专业的业务逻辑语言，可支持用户定义复杂业务逻辑的业务防护策略，建立符合客户自身画像的业务安全防护体系。
3. 应用侧安全补充：应用侧全量的信息补充，如堆栈信息、完整的请求信息；可有效补充流量侧信息的不足，减少人工的分析成本。
4. 智能热补丁：可实现0day场景下的有效预防，快人一步。
5. 规则+行为的双重防御体系：从流量侧（进入应用前检测）到应用侧（跟踪请求在应用中的整个处理过程），形成检测的闭环。
6. 多样化API风险模型：内置20余种业务API风险模型，覆盖广泛的业务威胁场景，如注册、登录、下单异常检测模型，能够及时、有效地感知高层业务API威胁。

电信安全

中国电信安全公司推出的云堤·网站安全防护（云WAF），是一款针对面向互联网网站和App业务的托管式安全防护产品，通过DNS流量牵引，精准识别过滤恶意业务请求与高级威胁，将安全可信的业务流量回源至网站真实服务器，解决网站系统被篡改、被挂马、漏洞攻击、数据泄露、恶意扫描和爬取等问题。依托于中国电信集团的运营商基础设施环境，该产品具备较强的交付能力，并可以与电信安全云堤·抗DDoS产品进行联动，形成覆盖4-7层网络攻击的综合应用安全解决方案。

主要特点：

1. 安全专家托管服务：提供全天候在线技术支持，可以第一时间响应解决客户产品使用过程中的各类突发安全事件与网站问题。
2. 防护体验便捷可靠：防护节点均采用集群化高可用架构，客户零运维、零部署，服务即开即用，快速解决网站安全问题。
3. 规则支持灵活全面：可编程防御模型，帮助客户快速实现个性化防护需求，运营商级威胁情报与风险样本关联分析，及时完成0day漏洞修复。
4. 一体化的安全体系：Web攻击防护基础上，结合安全事件告警、安全配置管理、日志报表分析与专家团队支撑，帮助客户构建云上一体化的安全体系。

观安信息

观安信息推出的观镜Web应用安全防护系统是一款专注机器行为防护、API安全防护、业务安全防护的新型WAAP+防护产品，采用了多种创新防护技术，能够实现对PC Web端、移动端（iOS & Andriod ）、小程序等全端点全场景防护，可以有效降低企业安全运维成本，保障业务安全。

主要特点：

1. 全面的机器行为防御：通过动态请求变换和底层网站封装，系统能够有效防御各种机器行为，包括爬虫、自动化业务欺诈、漏洞扫描等，有效隐藏攻击面。
2. 智能防御未知漏洞：采用主动防御理念和动态混淆技术相结合，具备防范未知漏洞自动攻击的能力，提高系统的安全性。
3. 无需规则升级：系统对自动化机器行为的防御不依赖于规则签名或请求频次，无需额外规则即可有效抵御自动化漏洞探测，降低了安全运维的工作量。
4. 无感知部署：实现主动防御功能时不需要修改目标应用的任何代码或业务逻辑，无需额外集成，无感知部署操作简便，适用于各种部署场景。

瑞数信息

瑞数信息推出的动态应用安全WAAP超融合平台已上线稳定运行了近2年，能够将客户多种核心业务统一纳入保护，并且开启拦截模式，实时拦截各种自动化攻击行为。其核心优势在于对BOT攻击的防护效果，特别是基于API调用的BOT攻击行为，平台能够有效通过基于业务逻辑而非特征，通过采用AI技术，识别自动化攻击行为。瑞数具有海量的攻击者画像，用于支撑BOT行为识别工作。

主要特点：

• Web应用协同防护融合传统架构及云上应用多场景的适配和可扩展性，从传统网络边界，迁移到各种Web应用、APP应用和API云服务，构建集中于业务逻辑、用户、数据和应用的可信安全架构，全面抵挡新的安全威胁。
• 变被动防御为“主动防御”通过动态安全技术，无需依赖规则和补丁，为网站安全提供主动式安全防护。以“动态防护”技术为核心，增加服务器行为的“不可预测性”；提供面向业务层的主动防御，高效甄别伪装和假冒正常行为的已知和未知自动化攻击，拦截未知威胁。
• 基于AI技术的新思路AI智能威胁引擎，通过使用机器学习的多种威胁模型来确定异常攻击，并阻拦确定的攻击请求。每个威胁模型都代表特定的攻击类别（SQL注入，跨站点脚本，OS命令注入等）。这些威胁模型使用来自各种来源的数十万个真实攻击样本，从而发现高度隐蔽的攻击，有效提高检测速率，降低误报、错报率。
• 强化对新兴Bots威胁防护Bots防护能力可以高效抵御由自动化工具发起的高效大规模攻击，如恶意爬虫、撞库、虚假注册、交易篡改、内网安全、API滥用、零日攻击等，保障在业务、应用和数据层面的安全升级。

天融信

天融信研发的新一代WAF产品能够支持多元产品联动，并以整体方案的方式进行交付。特别是在与NGFW的联动中，可以利用多层网络的协同分析，完善网络边界的全面防护。同时，产品与腾讯安全威胁情报能力实现了强强联合，可以搜集多元安全威胁，提升主动防护、动态防护，提高整体安全防护能力。

主要特点：

1. 业务自学习能力产品具备基于自学习的主动防御能力，动态智能适应网络环境，进而形成业务模型，对异常行为进行分析并及时阻断，有效防御未知威胁和0day漏洞。
2. 内置语义分析引擎产品可对业务流量进行识别和解码，通过词法分析、语法分析等功能细粒度地理解字符串含义，并结合威胁模型评分机制判断其威胁等级，识别其真正意图并采取相应防护措施，显著降低误报率和漏报率。
3. API攻击实时防护产品支持API资产发现、API资产分类、API攻击防护、API合规性检查等功能，有效防御API资产漏洞引发的各种已知、未知威胁，有效保障客户的业务安全。
4. 恶意Bot攻击防护产品可通过用户行为分析、动态验证、动态令牌、动态加密等技术进行人机识别，区分正常用户请求和恶意的Bot攻击行为，可有效防护漏洞扫描、恶意信息爬取、 DDoS攻击、业务攻击（如刷单、薅羊毛、黄牛党）等各类恶意自动化攻击。
5. 集成本地+云端威胁情报产品除本地集成威胁情报模块外，还可与天融信云端威胁情报进行联动，云端威胁情报系统实时更新，可确保情报库的及时性，通过集成和联动威胁情报实现对潜在安全威胁的智能感知，主动防御恶意IP或域名对业务的异常访问，提升Web应用安全免疫力。

云盾智慧

云盾智慧围绕用户的Web网站全方位防护需求，以网站运行中潜在的风险，包括网站的稳定运行、安全防护、运营合规等为导向，推出了一套Web应用安全整体方案，用户不再需要切割自身的需求。基于网站访问的特性，可以云化方式进行服务能力交付，保障防护体系的稳定运行。

主要特点：

1. SaaS模式降成本用户无需投入人员进行多类设备的运营，无需额外采购硬件/软件，降低相应维护成本。
2. 优质的云端防护资源遍布全国的防护节点，2Tb+的带宽储备，2000+的高性能服务器，实现了三大运营商链路全面覆盖。
3. OWASP TOP 10 威胁全覆盖可防护24大类、300+小类Web攻击类型，总计近 5000 种Web攻击方式。
4. 大流量DDoS攻击清洗可应对大流量的多种DDoS攻击，最大程度保障源站链路畅通。
5. 自动化攻击精准过滤智能决策树算法及人机识别手段，有效抵御羊毛党、CC攻击、恶意刷票/积分等威胁。
6. API安全与数据安全特定移动应用（应用程序接口-API）业务场景安全防护；及业务敏感信息防泄密。
7. 灵活地采购方式“主套餐+拓展模块”商业售卖形式，一套产品基本满足所有Web的防护需求，方便客户按需组合下单。
8. 实时安全运营专业的网站安全云托管服务，为您提供7*24的安全服务，时刻守护网站安全。

云科安信

云科安信推出的云科全域应用风险防护系统，能够对各种新型攻击行为进行建模与防御，并能够推动攻击行为识别从静态转向动态转变。系统能够推动安全防护范式从被动防护向主动防御转变，并且给客户提供一个应用安全大纵深的解决方案。系统能够帮助客户更好地应对不断演变的网络威胁和全新的安全挑战。

主要特点：

云科全域应用风险防护系统，基于应用交付与代理镜像技术，采用一体化安全能力架构，通过统一管理平台将多种应用层防御能力整合成安全资源池，在不减少防御策略的情况下实现大开发下的业务无延时访问，产品主要特点包括：

1. 高性能与高扩展：云科全域应用风险防护系统通过一体化安全能力架构，实现了出色的性能与高扩展性。在处理大规模网络流量的同时提供低延迟能力。
2. 自动化能力扩展与性能负载：可以根据流量需求自动添加或移除防御核心，并确保流量均匀分布到各个防御核心。
3. 内置开源情报引擎：能够实时整合开源情报，扩大风险识别边界，有效应对新兴威胁。
4. 高级威胁检测：结合白泽攻击面管理平台，云科全域应用风险防护系统可以实现更高级的威胁监测技术，用于识别如0-DAY漏洞攻击和高级持续性威胁（APT）等高级威胁。
5. 场景化防御：将安全功能按照场景整合成防御模板，将复杂的防御配置变成简单的鼠标点击，极大地降低了学习成本。

目前，《新一代WAF技术应用指南》报告已经在安全牛商城上架，获取完整版本报告，请点击识别下方二维码：