基于云的WAF VS. 本地部署WAF

Web应用防火墙(WAF)市场正在不断壮大，这主要归因于企业纷纷采用基于云的WAF服务。基于云的WAF服务一开始就立足于多租户、基于云，从长远来看它可以避免对遗留代码进行成本高昂的维护。此外，它还提供了竞争优势，因为发布周期更短，还可以迅速实施创新功能。

随着应用程序格局的变化，我们用于保护企业系统及其处理数据的工具也在随之发生变化。其中，WAF的发展就是调整老旧安全系统以保护现代化企业的一个主要示例。

几乎所有企业都有理由担心在线泄露问题。黑客们不仅仅会针对网站实施攻击活动，他们还会通过员工、客户以及合作伙伴所使用的Web应用程序漏洞来实施入侵行为。由于企业应用程序中通常包含大量个人和企业隐私数据，因此必须部署更高级别的保护措施。

无数事实证明，在黑客入侵活动中，Web应用程序是造成泄露最主要的攻击媒介。根据最新的Verizon数据泄露调查报告显示，近一半的数据泄露事件都是由Web应用程序漏洞利用造成的，而就Equifax数据泄露案件而言，正确部署WAF就能够阻止此次事件的发生。

云WAF需求

传统意义上来说，WAF通常作为物理的、本地部署(on-premises)工具部署在Web服务器的前面，旨在保护Web应用和API远离内外攻击，尤其包括注入攻击和应用层拒绝服务攻击(DoS)，监视和控制对Web应用的访问，以及收集访问日志用于合规/审计和分析。WAF最常采用嵌入式部署，作为一种反向代理系统，因为过去这是执行深入检测工作的唯一途径。

如今存在其他部署模式，比如透明代理或网桥。一些WAF还可以采用带外部署模式(即OOB或镜像模式)，因而可处理整路的网络流量。但是，并非每一项功能特性在所有这些部署模式下都可以发挥作用;对许多企业组织而言，反向代理是最流行的方案。近些年来，Web应用加大了使用传输层安全(TLS)加密的力度――基于需要嵌入式拦截流量(中间人)才能解密的密码套件(cipher suite)，因而减少了OOB部署的数量。

如果你把自己的网络想象成一个受到围墙(即你的防火墙)保护的堡垒，那么Web应用程序就像是这面墙上的一扇纱门——无论你已经部署了几层防护，只要任何一个Web应用没有得到合理的保护，都完全可能摧毁这一切。

随着企业迁移至云端，应用程序也不再托管在他们的技术架构上。自此，他们也失去了对于应用程序使用方式、访问者以及进出流量的可视性。近些年来，对于越来越多的企业而言，由厂商直接作为基于云的服务来交付的WAF(基于云的WAF服务)已成为一种更流行的方案，由最初的目标群——中型企业——扩大到更广泛的企业。基于云的WAF服务通过将更规律的安全更新、更强的扩展性以及每月或每年的订阅模式结合起来，以简化管理实践。

人们已经在检测模式中运用了WAF很长一段时间，但是想要将其用于阻断威胁可能还需要一段时间。因为WAF在提供了丰富信息的同时也产生了大量的误报，这引发了安全团队的担忧。根据Imperva最新调查结果显示，27%的安全团队每天都会收到超过100万次的安全警报，而53%的IT专业人员正在努力将重大安全事件与误报区分开来。

在过去的四五年间，越来越多的企业希望获得更好的Web应用程序支持，却苦于缺乏相关领域的专业知识和人才。后来，他们开始将目光转向日益增长的基于云的WAF市场，这些市场共享威胁数据并提供类似的支持服务，同时还能帮助企业更为轻松地实现部署和管理任务。

基于云VS. 本地部署WAF：区别和部署

本地部署(on-premises)和基于云的WAF之间存在一些主要差异，其中最大的差异在于其部署方式不同。本地部署WAF在数据中心运行，或通过“基础设施即服务”(IaaS)作为虚拟机运行。而云WAF则以“软件即服务”(SaaS)的形式出售，并通过Web界面或移动应用程序进行管理。本地部署WAF需要你自行处理容量规划和复杂性;但是使用云WAF，这些工作都是由WAF提供商进行处理的。

虽然本地部署WAF具有开箱即用/即插即用的政策，但是管理员可以完全控制其公司的规则。本地部署系统更具可定制性和复杂性，让管理员能够调整应用程序与WAF的交互方式。但是，这也要求企业必须对这些数据进行监控，确保其无法访问。