黑客绕过Web应该防火墙攻击企业，WAF服务将如何优化？

在企业架构中，安全体系同剥洋葱一般，由外及内是由一层层的安全产品和规范构成，越处于外层承重越大，WAF 属七层防护的第一道墙，随着互联网技术发展，业务对外提供服务的方式逐渐收拢，Web 接口与应用垄断流量，WAF成了安全战场中被炮火攻击最惨烈的前线。

Web应用防火墙

不少企业对WAF抵御攻击能力感到失望

根据Cequence Security发布的报告显示，只有40％的企业对其Web应用程序防火（WAF）感到满意。换句话理解，超过一半的企业不满意WAF无效的保护，这样造成高成本的浪费，这样的结果企业明显是不满意的。

毫无疑问，在应对复杂多变的应用层攻击时，WAF应用防火墙作为抵御应用层攻击强有力的工具，依旧是众多企业用户的首选。然而，一方面攻击手段不断增加，另一方面，企业应用正变得越来越复杂，传统WAF要为企业应用提供防护也变得越来越力不从心。不少企业开始对WAF威胁识别的准确性、抵御攻击的能力感到失望。

企业对WAF服务不满的三大原因

第一，企业对于如此多的攻击绕过他们的WAF，并破坏关键业务应用程序感到沮丧。

第二，企业经历连续、耗时的WAF配置和管理任务的痛苦。

第三，企业使用WAF服务并且配置运维人员，每年需要投入大成本。

企业对WAF服务的三大痛点诉求

1、安全性：

虽然大部分的企业认为WAF是一个至关重要的安全工具，但是另外一些的企业仅使用其WAF来生成警报（而不是阻止攻击）。这个情况并不奇怪，大部分黑客在过去的12个月中遇到了绕过他们的WAF的应用层攻击。

2、管理服务：

管理传统的WAF部署非常复杂且耗时，平均需要2.5名安全管理员，他们每周花费45小时处理WAF警报，另外每周额外花费16小时编写新规则以增强WAF安全性。

3、成本控制

与WAF购买和持续管理相关的资本支出和运营成本非常高。总的来说，组织每年平均花费62万美元。其中包括WAF产品的42万美元，以及管理WAF所需的熟练员工每年额外20万美元。

WAF未来发展情况

尽管目前WAF用户感到沮丧，但他们还表示应该对他们的WAF进行具体改进，以提高整体效率和满意度。出现了两个重要要求。

72％的受访者希望将更多智能和自动化集成到他们的WAF中。

74％的受访者希望将WAF功能与其他应用安全功能集成到基于AI的软件平台中。