【IT168 专稿】2011年5月13日，梭子鱼Web应用防火墙（WAF）全球产品市场经理Grant Murphy造访中国，在上海接受了媒体采访，就WAF产品在中国的进展以及梭子鱼的计划阐述了他的观点。

　　三年五倍增长的商机

　　如今Web应用防护无疑是一个热门话题。由于技术的发展成熟和人们对便利性的期望越来越高，Web应用成为主流的业务系统载体。在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐。但对于Web的的攻击也是与日俱增。尤其是重要的Web应用（比如运营商或金融），始终有受利益驱动的黑客进行持续的跟踪，这就让客户对Web应用防火墙有了巨大的需求。

▲梭子鱼Web应用防火墙（WAF）全球产品市场经理Grant Murphy

　　Grant Murphy在采访中指出：“Web应用防火墙现在上升趋势明显，更多驱动是客户对WEB应用安全的了解。根据PONEMEN的数据，74%的人认为WEB安全是非常重要的。但也有69%的人认为传统防火墙可以保护，并不是很了解WAF。可见，这是一个需要培育的市场，但也是一个快速增长的市场。”

　　相比全球每年20%到25%的增长速度，中国地区对WAF市场的看法更加乐观。梭子鱼有限公司中国区总经理何平之前表示，今年梭子鱼Web应用防火墙部署量相比去年增长200%，预计未来三年年平均增长率将达到500%。对此惊人的数字，Grant Murphy并不认为是过于乐观，反而给予高度认可。但是在此次中国之行中与许多客户沟通后，他也发现了许多问题。比如许多客户还并不真正了解WAF与IPS/IDS之间的区别。“潜力巨大，需要培育”是他此行得出的观点。

　　市场需要真正的WAF

　　他这次来中国，看到很多客户以为IPS、IDS就是WEB保护，所以需要加强宣传。梭子鱼有网站上相关白皮书。IPS、IDS，国内有不少WEB防火墙，只是这两个功能，因此他认为有需要说明下。

　　“我这次来中国与多家代理商进行了沟通。从他们这里了解到，很多客户认为IPS、IDS就是WAF，可以保护WEB应用网站，但不得不说，这是一个错误的观点。在国外不是这样的。”在采访中，Grant Murphy罕见地用了如此明确的负面词句。

▲梭子鱼Web应用防火墙全球产品市场经理Grant Murphy与中国区技术总监谷新

　　在他看来，尽管IPS/IDS，尤其是IPS与WAF在功效上有不少相似点，但差别也非常明显。他们主要是在监管层面和防护原理有所不同。像是IPS主要定位在分析传输层和网络层的数据，而再往上则是复杂的各种应用层协议报文，而WAF则仅提供对Web应用流量全部层面的监管。可以说，一个是广，但相对浅。一个是窄，但非常深。在防护原理上，他们也有明显不同。如面对同样的攻击，比如SQL注入，它们都是可以防护的，但IPS基本是依靠静态的签名进行识别，也就是攻击特征，这只是一种被动安全模型。而WAF却能对不同的编码方式做强制多重转换还原成攻击明文，把变形后的字符组合后在分析。这是一种主动模式。WAF更具备对Web应用程序的主动学习功能，能建立一个安全防护模型，一旦行为有差异则可以发现，比如隐藏的表单、限制型的Listbox值是否被篡改、输入的参数类型不合法等，在面对多变的攻击手法和未知的攻击类型时能依靠安全防护模型动态调整防护策略。当然，要说明的是，WAF的防御模型同样也支持被动模式。

　　作为市场经理，Grant Murphy也知道上述技术问题可能并不是那么容易说清楚，因此他也用另外一种较为口头的方式来声明两者的区别，他说：“真正Web防火墙该有三方面功能。一、要有合规性，真正的WAF应该有这类审计功能，这尤其是从事网络交易的网站必须部署的。二、要提供TOP10攻击行为的防护。三，是要防护Web网站的架构。”他随后又补充说：“还有一点，要有日志报表功能，将受到的攻击记录下，展示出，进行分析。还有，要兼顾安全和性能。”

　　WAF寄托梭子鱼拓展企业级市场之心

　　在Grant Murphy看来，目前会买WAF的主要有两种客户。一种是被攻击过，所以迫切需要WAF来防护。第二种是没有攻击过，但意识比较高，对WEB的漏洞认识比较清楚，所以有需求。但不管是哪种，它们都有一个标签，就是“企业用户”。

　　“企业用户”对梭子鱼来说其实是大型企业的意思。以往梭子鱼的产品主要针对中小企业，对原先的市场，它们称之为SMB即中小企业市场。但WAF和梭子鱼之前的邮件网关等产品不同，目前还是大型企业需求较多，尤其像是电信、金融、能源、教育这些行业。但这些行业正是梭子鱼的弱项。不过，如果真能依靠WAF打开这一市场，对于梭子鱼未来的发展，潜力不可估量。对此，Grant Murphy还是很有信心的。

　　他认为，目前在中国，梭子鱼的WAF产品其实并没有很强的对手。他是这样说的：“关于竞争对手，无外乎本土品牌和外国品牌。中国本土企业有价格优势，但存在一个很大的问题，就是这些产品并不是真正意义上的WAF。”

　　他举例说：“比如绿盟，它们的WAF其实是在IPS基础上改的。因此，梭子鱼主要的竞争对手还是外国品牌，主要是imperva。”但他同样不认为imperva会有多少优势，因此“这些品牌的本地化不是很够，主要依靠渠道商来销售，国内没有子公司，不像是梭子鱼，在中国有销售、服务和本地化研发的团队，做了很多投入。”

　　当然，Grant Murphy也很清醒意识到，并不是有好的产品就必然能有好的业绩，因此他很赞同梭子鱼在国内的营销策略，即依靠渠道去做。尤其是WEB安全是一个系统安全的问题，特别需要集成商通过整体方案来解决。不过，他也意识到，由于之前梭子鱼主要针对SMB市场，因此尽管渠道策略不会做改变，但为了WAF，需要对渠道商做一些新的要求，寻找一些新的适合的合作伙伴。目前，他觉得由于在电信、金融、能源、教育这些行业的客户需求多一些，因此非常需要在这些行业中获得有经验的合作伙伴。当然，梭子鱼也愿意帮助原有的合作伙伴进入这一市场。

　　Grant Murphy对此明确表示：“我们会在人员做相应调整和投入，因为大型企业级市场需要不一样的销售人员、销售工程师、代理商和其他力量，我们会在运营商级、企业级市场上做更多投入。”