引言：
IDC第二年发布《中国云Web应用防火墙市场份额报告》（以下简称报告），报告显示2022年中国区云WAF市场阿里云市场份额占比超过第2、3、4名总和，依然保持第一名成绩。

自2016年，阿里云正式发布国内首个具备数据风控功能和智能检测双引擎的云WAF产品后，便以极强的技术创新能力快速占据亚太区市场份额第一，此后持续在每年的各大权威机构相关报告中，不论是市场域还是细分技术域均保持其绝对优势。

在本次报告中可以看到，与过去多年硬件WAF的强市场主导地位不同，中国云WAF市场增长态势明显。IDC 认为“在企业业务上云需求的持续拉动下，中国云 Web 应用防火墙市场在未来 5 年仍将保持快速的增长态势，并继续提升在整体 WAF 产品市场中的占比。”

云上安全角逐进入白热化，传统的攻防思路正在发生巨变。WAF作为较成熟的安全产品品类，传统的防护策略已经很难跟上愈加复杂的操作环境与威胁态势。突破单一的Web应用安全管理策略，WAAP平台将是未来的必然趋势。

目前，阿里云WAF已形成非常完善的WAAP防护体系：

01.业界最完整的接入方式设计
代理接入、透明接入、服务化接入、混合云（多云）接入，不限接入环境、无需配置一键开启、统一云端管理与策略下发；
02.主动智能防御体系

• 基于阿里云平台海量网络流量数据，打造百万量级业务风险情报通用业务风险识别与防护能力；
• 根据神经网络构造多模态特征，对流量进行多维度刻画分层，构建流量意图分析智能引擎，区分正常与恶意流量以降低误报；
• 针对不同业务安全场景下的风险流量变异，实现七成以上的自动化防护策略与自主对抗；
• 利用阿里云自研的流量模式学习算法，定义 “白”流量，为域名自动生成并更新定制化的安全策略，突破未知0Day防御盲区。
  03.深度延展防护
• 超过7000种客户端指纹识别BOT管理，接入转发架构跟WAF完全一样，全面支持网页、H5、原生APP、API、公众号、小程序等全场景Web应用防护。
• 全生命周期API资产管理，脆弱性API高敏度发现、自学习访问规则，主动监测异常行为、防护闭环，自动化威胁处置。
• 流量层打通防护，WAF和其他云产品都已对接阿里云DDoS防护产品，免费接入DDoS基础防护，也可以一键接入DDoS原生防护，或跟高防IP等形态配合使用，获取T级别的DDoS防护能力。

一个产品，更是一整个应用层全场景防护平台。集高效防护、深度延伸、可见可查、全面接入、原生韧性、智能引擎于一身，深度打通BOT管理、API安全、流量层DDoS防护。阿里云WAF基于云原生天然优势，不断完善Web应用层防护韧性，构建领先于行业的WAAP技术架构，从使用到价格，压缩客户各项安全成本。

云上攻防能力快速进化，云下或多云架构是否也可以使用云上同等防护力的阿里云WAF？

当然！

去年7月，阿里云WAF3.0特别推出混合云服务化场景，针对客户流量无法上云，或因延迟/网络限制等原因需要在IDC或其他云部署的情况，阿里云支持将WAF节点以软件化方式，部署在客户的虚拟机/物理机等线下或云上环境中，能够在不改变数据传输链路和网络架构的同时，实现对应用层流量的安全检测，只需30分钟即可本地化部署这个“最强外脑”。

阿里云WAF为困在线下或多云架构的混合云客户，提供了Web应用防护的新思路，同时也成为了WAF全品类的“新卷王”。

• 成本，极致压缩
  通过云端控制台统一威胁管理与策略配置，运营精力占用更少。订阅模型灵活，支持按月服务，所需费用更低。可使用利旧机器部署Qps单位成本最低。

• 防护，深度又灵活
  基于云上海量数据，30秒自动更新云WAF威胁情报策略与最新0Day高危漏洞防护能力。支持开通BOT防护，相关能力与云上对齐。

• 高可用，稳定又高效
  目前混合云服务化单场景已为客户防御了百万Qps流量，平均延时低于5ms；支持自动和手动Bypass，保障故障应急时将流量直接转回源站，不影响业务体验。

场景案例

一家大型智能电子设备制造商，业务分别部署在部署在阿里云与线下机房。

客户痛点：

• 客户业务流量规模较大，几十万Qps量级
• 对延时和稳定性要求极高，希望具备一键Bypass应急能力
• 有省级攻防演练需求，希望能实时获取最新防护规则和威胁情报

布控效果：

• SDK高效接入并且对业务原流量模式零影响；
• 峰值攻击拦截数达百万级别；
• 自动化0Day防御能力，极大降低客户运维成本，防护能力升级体感明显。
• 在国家级/省级攻防演练、活动大促等特殊节点，混合云服务化场景同样支持重保服务的灵活增设。

2022年7月阿里云发布了全新重构的WAF3.0大版本，除了推出混合云服务化场景，还对WAF底层的云原生集成架构、控制台的规则配置交互设计、计量计费逻辑做了全面的重构优化和升级，解决了大量原始架构上存在但较难处理的用户痛点，3.0版本发布之际便提供2.0->3.0的迁移工具帮助老用户自助迁移。

1. 全新规则配置逻辑
基于WAF3.0新版本防护对象（组）、规则模板的全新规则配置逻辑，ALB、MSE、FC等云产品的实例可以直接作为一个防护对象被WAF规则防护，而不再必须依赖域名，同时用户可以通过规则模板和防护对象的双重视角，高效管理全局的防护规则。

2.新增多项计费设计，更合理地降低成本

• 新增自助降配和退款支持；
• 新增弹性付费以帮助用户应对节日、大促等临时突发性流量场- 景下无法确定流量规格的问题。
• 按量计费将所有的计费项统一到同SeCU作为计费单元，并发布具备梯度定价的SeCU资源包，让使用量大的用户能够享受更低的价格。
• 新增计费保护设置，允许用户设定到达一定流量上线后就停止计费。避免用户因突发的CC攻击等原因产生天价账单。

3.全面的服务保障体系
阿里云WAF依托阿里云整体的服务体系，提供7x24全球工单、钉钉、电话等多种服务方式。对于有高等级安全需求的客户，还可以通过阿里云安全团队专属的托管检测与响应服务（MDR）得到资深安全专家的安全运营和托管服务。