尽管WAF现在已经成为了很多企业应用安全体系中的标配，但是很多企业对其表现却相当不满。

最近一份由Neustar International Security Council进行的调查发现，许多针对网站应用的攻击都绕过了WAF；而企业正在努力将这些WAF进行调整，从而能和整个企业的安全体系进行协同。这个调查结果进一步证明了一些分析师和研究人员在过去18个月中的想法：WAF的防护机制需要进一步演进，不能只是作为应用安全体系的“编外防御”。

这份调查发现，四成受访的安全相关人员表示，至少有一半针对他们的应用层攻击绕过了WAF；而有一成的人员甚至表示，超过90%的攻击可以轻松避开WAF防御。

另一方面，三分之一的专业人员声称，过去与12个月中，有50%的网络请求被标记为了误报。这和认为购买的WAF很难调和的企业比例相近；近30%的受访者表示他们很难将WAF策略调整对新型的应用层威胁进行防御；还有40%的组织认为很难将他们的WAF完全集成到其他应用安全体系或者更大的安全架构中。

这些结果对2019年Ponemon Institute的报告进行了肯定，该报告显示，60%的组织不满意他们购买的WAF产品。这份报告也发现了组织正在尽力对付和大量绕过WAF的应用层攻击，同时还要应对配置协同问题，以及高误报率问题。Ponemon Institute发现组织平均需要雇佣2.5个安全管理员，每人每周花45小时处理WAF告警，再花16小时给WAF写新的规则。

WAF漏了些什么？

这些报告中显现出的问题，无疑将会给WAF市场在可见的未来敲响警钟。

Forrester Research的首席分析师Sandy Carielli在今年春天对WAF的市场研究中表示：“企业希望能从WAF供应商中获得更多的协助，但是这些负面反馈则标志着除非供应商能快速进行改变，否则WAF市场会崩塌。”

Forrester的报告则显示，企业当前的WAF无法应对更大范围的应用层面攻击，尤其是客户端方面的攻击、基于API的攻击、以及机器人攻击。以API攻击为例，由于云架构使用的元数据API与webhook，造成有越来越多的服务器端请求伪造（server-side request forgery, SSRF）攻击得以有机会得手。

“WAF未必在线路上部署，从而对网站应用的对外HTTP请求进行监控。许多SaaS公司提供某些形态的webhook产品，从而代替用户进行http请求；这就使得SSRF攻击很难被辨别出来。”K2 Cyber Security的CTO兼联合创始人Jayant Shukla在今年早些时候，针对2019年的一起由SSRF攻击绕过WAF而引起的泄露事件，如是说到，“这些因素暴露出了WAF在应对SSRF攻击中最基本的局限性。”

WAF难以抵挡的应用安全之殇

许多专家相信，WAF的无力代表着整个应用安全的策略和执行上有系统性缺陷。举例而言，去年秋天Radware的研究认为，WAF和许多其他产品有同样的问题：企业将如何开发和修复软件，这一基础性的改变需求，全部依赖于一个单独的产品去解决。

多年以来，越来越多的组织在使用WAF作为应用安全的一环，在风险驱动的情况下持续提升安全态势。这些组织不是将WAF作为改进后的底线防御手段，而是作为一种前置防御的措施。但正如Neustar和Ponemon的研究显示，WAF的局限性在于，团队能多快创建规则防范新型攻击。

但从结果来看，企业对WAF不满意的很大原因，在于他们对WAF寄予了太多期望。事实上，部分专家认为，WAF应该只是减缓攻击速度，而团队需要及时修复代码。

Veracode的产品管理高级总监Tim Jarret表示：“就算你使用WAF，你也无法无限制地保护自己的产品不受攻击。因此，要合理地使用WAF给自己争取到的时间，发现自身应用的真正漏洞并且修复他们。”

转载自：数世咨询