Forrester 刚刚发布了其《2025 年 Web 应用防火墙浪潮》。作为一名前行业分析师，同时也是 Imperva（咳咳，该报告的领导者，咳咳）的供应商贡献者，我想分享一下我对这份报告的一些看法。

宇宙的中心

报告的第一个顶级标题（业内行话为 H1）声称 WAF 已成为“应用保护套件的核心”。我完全同意这种说法，多年来我一直如此认为。WAF 与网络防火墙（我以前报道过这个领域）类似，无论它被称为 DOA 多少次，它都会不断发展壮大，并吸收任何相邻的技术。网络防火墙通过类似的检查控制（例如 IDS/IPS 和恶意软件引爆）实现了这一点。WAF 已经通过机器人管理和现在的 API 安全实现了这一点。如果您好奇，为什么网络防火墙没有吸收 WAF？大多数情况下，WAF 处于 B2C 环境，而不是企业环境。用例、威胁面、买家、合作伙伴、安全策略等都不同。B2C WAF 在很大程度上可以抵御网络防火墙以及其他以企业为中心的工具（例如 CWPP 和 CNAPP）的攻击。即使在企业环境中使用 WAF 的情况下，问题空间也太大，无法融入网络防火墙（想想机器人管理、DDoS 保护、SSL 解密、API 安全等）。

功效与运营效率

报告指出，购买 WAF 的首要考虑因素是要衡量其在误报和漏报方面的有效性。前者会增加摩擦，这对 B2C 领域来说是毒药，而后者会削弱有效性并导致对安全团队的不信任。我的反应是：这也是正确的。传统 WAF 面临的挑战之一是策略管理和“调整”以避免误报。如果不进行持续调整，就会成为技术债务。我们有许多竞争对手，其中 90% 的客户从未将其 WAF 置于阻止模式，因为误报太多。Imperva 对云 WAF 的态度是“让我们为您服务”。超过 96% 的 Imperva 云 WAF 客户只需加入他们的应用程序，让我们处理日常策略更改。这就是我们的不同之处，我们认为，这有助于我们在评估的“采用”标准中获得最高分。

API 已准备好还是只是对 API 感到好奇？

精明的评估读者会注意到，首要标准之一是API 发现和保护。大多数客户都知道他们在这里面临风险（并且想知道他们的风险）。API 安全市场同比增长超过 20%！目前仍然有一些独立的 API 安全解决方案，但总的来说，API 安全已经成为标准 AppSec 堆栈的一项功能。考虑一下：所有严肃的 API 安全解决方案都是异步运行的（而不是内联的）。当最终需要补救时，哪个组件会执行阻止操作？在大多数情况下，它将是 WAF，因为它已经存在。有人可能会问，那么 API 网关呢。这是个好问题，但安全团队并不拥有该组件，并且必须定期与其所有者协商策略阻止。孤立的安全团队仍然存在，因此许多人已经在寻找仅限安全团队的检测和响应选项。

Magecarts 和客户端保护

这份关于 Web 应用防火墙的报告发布得非常及时，因为（最后提醒一下）：PCI DSS 4.0 中要求提供客户端保护 (CSP) 以抵御 Magecart 攻击的最后期限就在几周后！在我与客户的沟通中，这是一件刻不容缓的事情，这份报告可以帮助客户缩短备选名单。例如，目前所有超大规模 WAF 都没有 CSP，但我们当然有。感谢 Forrester 在我们的供应商评分卡中明确提及 CSP，我们对此深表感谢。

作为本报告的领导者，我们当然会为您授权，您可以在我们的发布博客上获取该报告的副本，并阅读有关行业分析师报告重要性的更多信息。

Forrester 不为其研究出版物中包含的任何公司、产品、品牌或服务背书，也不建议任何人根据此类出版物中的评级选择任何公司或品牌的产品或服务。信息基于现有最佳资源。观点反映的是当时的判断，可能会有所变更。欲了解更多信息，请阅读 Forrester 的客观性。