无可否认，传统的网络应用防火墙正在丧失其价值。

根据2020年Neustar国际网络安全委员会发布的调查报告，40%的安全相关人员表示，他们所面临的应用层攻击中至少有一半的攻击成功规避了WAF防护措施；同时，10%的人员表示，超过90%的攻击都能轻松绕过WAF的防御。

这份报告进一步证实了PonemonInstitute在2019年进行的调研结果：有65％的组织在使用Web应用防火墙（WAF）时曾经遭受过旁路攻击，而只有9％的组织宣称从未发生过入侵事件；与此同时，只有40％的被调查参与者表示他们对他们目前使用的WAF感到满意。PonemonInstitute还发现，每家企业平均雇佣了2.5名安全管理员，他们每周要花费45个小时来处理WAF的报警信息，并且每周还需要额外花费16个小时来编写新的WAF规则。

传统的WAF存在可靠性和用户满意度问题，引起了业界的高度关注，这就意味着WAF市场正在经历一次重大的调整和变革。

随着多类型应用的兴起，传统WAF防护的局限性日益显现。

实际上，网络应用防火墙（WAF）是一个非常成熟的安全技术，已经发展了接近20年的历史。

在早期，以网站作为核心的Web应用开始兴起。由于应用类型单一、恶意程序的复杂度较低，传统的WAF系统可以通过规则和特征匹配来满足Web应用防护的需求。

然而，时代变化迅速。移动互联网近年来发展迅猛，诞生了APP、H5、小程序等多种应用形式，越来越多的企业核心业务和交易平台都越来越依赖这些新型应用程序。这些应用可以部署在本地、云端甚至混合环境中，企业员工和用户都可以从网络的任何地方进行访问。与此同时，越来越多的第三方API接口被调用，这带来了Web敞口风险和风险管控链条的扩大，已经超出了传统WAF的防护范围。

机器人威胁不断上升，机器人管理已超越传统的WAF防护系统。

除了在限定范围内防护攻击之外，传统的WAF在识别不同规模、高效率的工具化、智能化、拟人化的Bots攻击行为方面的能力也相对不足。Bots威胁的不断增加不仅对利用Web应用漏洞进行攻击的事件造成了影响，更对数字化业务带来了重大的危害。传统WAF已经无法有效应对由Bots带来的已知和未知应用风险、数据泄漏风险和业务风险，其保护能力已经无法涵盖。

根据《ForresterAnalytics:ApplicationSecuritySolutionsForecast,2020To2025(全球版)》的报告显示，从2019年到2025年，应用安全解决方案市场规模将从47亿美元增长到129亿美元。Bot机器人管理将成为许多Web应用程序防火墙（WAF）的关键功能，并有望在2025年超越传统WAF成为核心应用程序保护解决方案。通过Bot机器人管理，可以检测和拦截一系列基于Bot的攻击，如撞库和爬虫等欺诈威胁。此外，在保护应用程序免受恶意机器人攻击的同时，Bot机器人管理工具还能允许善意机器人通行，从而不会给人类用户带来不必要的验证码和其他挑战。

下一代Web应用防火墙（WAF），正从单一的WAF工具向多功能的Web应用安全平台（WAAP）发展。

可以发现，传统的WAF已经无法跟上威胁态势的发展速度。在数字化时代，WAF的防护机制需要如何演变，以帮助企业应对未知的威胁，做好新时代的安全运营呢？作为业界公认的权威咨询机构，Gartner对于WAF技术的进一步演化给出了解决方案。在2021年，Gartner将多年来发布的WAF魔力象限改为了WAAP魔力象限，进一步拓展了安全防护的范围和深度。

根据Gartner的预测，到2023年，超过30％的公众网页应用程序和API将会受到云端Web应用程序和API保护服务（WAAP）的保障。WAAP服务结合了分布式拒绝服务（DDoS）防护、机器人程序缓解（BotMitigation）、API保护和Web应用防火墙（WAF）等功能。

WAF的功能：WAF不仅需要能够检测已知的威胁，还要具备检测未知威胁的能力。这对于依赖规则和特征匹配的传统WAF来说是一个非常大的挑战。

自动化攻击具有的Bots防护功能：Bots自动化攻击正逐年增加，约占互联网流量的60％，为了提高攻击效率，攻击者试图使用各种方法绕过检测措施，导致防御措施不断升级。然而，相较于传统的安全攻防，企业对于Bots攻击的认知普遍较低，进一步加剧了Bots攻击带来的威胁。因此，下一代的Web应用防火墙（WAF）需要具备对Bots自动化攻击的识别和防护能力。

API保护能力：与传统的Web页面相比，API承载了更多的业务流程。随着API访问环境越来越开放，API数量急剧增加，并且API本身也在快速变化，基于规则的API应用漏洞攻击防护已经无法满足API接口被滥用、越权访问、僵尸API、数据泄漏等安全防护需求。因此，下一代WAF应该具备对API内外的保护能力，这也是目前市场上许多WAF产品努力弥补的方向。

DDoS攻击的防护能力：DDoS攻击是一种常见且非常有效的攻击方式，尤其在攻击应用时表现出色。如今，黑灰产业的DDoS攻击能力不断增强，组织大规模攻击的能力也在提升。攻击者试图通过多种攻击特征的变化和大规模分布式攻击来绕过防御规则，以超过防护设备的承受能力。同时，攻击者还可以在不触发限速防御策略的情况下实施攻击，使传统的WAF策略失效。因此，下一代WAF需要具备DDoS防护能力，能够更好地预估漏洞威胁，并对攻击团伙进行更深入、持续的监控。

虽然WAF产品经过多年的发展已相对成熟，但对复杂威胁的检测和响应能力仍需进一步提升。因此，传统WAF功能将并入WAAP平台，与威胁情报、Bot防护、DDoS防御、API保护等功能紧密合作，助企业用户构建主动防护体系，以应对Web应用的安全挑战。

网络安全领域的发展必将引领WAF向WAAP转变。WAF是一种传统的网络安全工具，用于保护Web应用程序不受网络攻击。然而，随着网络技术的快速发展和攻击手段的多样化，WAF的不足和局限性逐渐显露。

WAAP（WebApplicationandAPIProtection）平台是WAF的升级版，提供了一种更全面和高效的安全防护方式。它继承了WAF在保护Web应用程序方面的优势，并且还增加了对API的保护功能。因此，WAAP能够更有效地应对各种新型的网络攻击手段，例如自动化威胁和API攻击。

WAAP的优势在于其广泛的防护范围和高度可扩展性。它采用了多租户模式和云端交付方式，使得企业可以轻松扩展安全防护范围，并避免高昂的维护成本。此外，WAAP还集成了多种安全技术和策略，包括Web应用防火墙、API保护、Bot防护和DDoS攻击防护等，能够全面地保护Web应用程序和API的安全。

根据2020年发布的调查报告，Neustar国际网络安全委员会发现，40%受访的安全相关人员表示，至少有50%针对他们应用层的攻击绕过了WAF。而10%的人员则表示，超过90%的攻击能够轻松避开WAF的防御。然而，一旦采用了WAAP平台，就能有效地增强应用层的安全防护能力。

网络安全发展的必然趋势是从WAF转向WAAP。WAAP不仅继承了WAF在保护Web应用程序方面的优势，还增加了对API保护的功能，并采用了多租户模式和云端交付方式。这使得企业能够轻松扩展其安全防护范围。因此，越来越多的企业开始选择WAAP平台来保护他们的Web应用程序和API的安全。

上海云盾专注于提供新一代安全产品和服务，以纵深安全加速，护航数字业务的产品服务理念，替身和隐身的攻防思想，运用大数据、AI、零信任技术架构和健壮的全球网络资源，一站式解决数字业务的应用漏洞、黑客渗透、爬虫Bot、DDoS等安全威胁，满足合规要求，提高用户体验。其中Web安全加速产品，是一款专注保护游戏、电商、金融、医疗、门户等行业网站/APP/API业务免遭Web攻击、漏洞利用、系统入侵、内容篡改、后门、CC和DDoS攻击威胁的安全防护产品，支持HTTP、HTTPS和WebSocket协议，在抵御各类攻击的同时，保障网站业务的快速稳定访问。

例如，内容安全。过滤和替换应用系统中的敏感信息，支持定制专属敏感词库，避免因敏感信息导致业务系统被关停的风险。

例如，访客鉴权。通过算法签名对请求进行校验，可识别针对应用的各种CC攻击，适用于APP和API场景。

例如，智能调度。YUNDUN智能调度系统根据业务系统访客分布、全局边缘节点质量、源站线路、运营商分布、攻击数据等信息，解析就近最优线路节点， 兼顾安全和加速能力。