WAAP(Web Application and API Protection)
定义
WAAP 由 Gartner 在 2020 年提出,是传统 WAF(Web Application Firewall)的演进版,融合了:
- WAF — 防 SQL Injection / XSS / 文件上传攻击
- DDoS 防护 — L3/L4 + L7 流量清洗
- Bot 管理 — 恶意爬虫识别与拦截
- API 安全 — REST / GraphQL / gRPC 接口防护、Schema 校验、敏感数据外泄检测
WAAP 是面向"Web + 移动 + IoT + API"全场景的应用层安全总和,在 CDN 厂商的"安全增值层"中占据核心位置。
与 WAF 的差异
| 维度 | 传统 WAF | WAAP |
|---|---|---|
| 部署 | 硬件设备 / 数据中心 | 云原生 / 边缘 PoP |
| 协议 | HTTP/HTTPS | + WebSocket / gRPC / GraphQL |
| 威胁 | OWASP Top 10 | + 商业逻辑攻击 / API 滥用 / Bot |
| AI | 规则 + 黑名单 | + ML 异常检测 |
| 计费 | License | 流量 / 请求次数 |
关键玩家与产品
| 厂商 | 产品 | 特色 |
|---|---|---|
| Cloudflare | WAF + DDoS Protection + Bot Management + API Gateway | 业内最全 + 价格亲民 |
| Akamai | App & API Protector + Bot Manager + API Security(Noname Security $4.5 亿收购) | 企业级 + API 深度 |
| Fastly | Next-Gen WAF(Signal Sciences 收购) | 开发者友好 |
| F5 | Distributed Cloud WAAP | 收购 Volterra + Threat Stack |
| Imperva(Thales 持有) | Cloud WAF | 老牌 WAF 厂商 |
| Noname Security | API Security(被 Akamai 收购) | 专注 API |
| 网宿科技 | 安全产品组合 | 中国本地化 + 77% 毛利 |
市场规模
- 全球 WAAP 市场 2024 ~$80 亿 → 2028E ~$180 亿(CAGR 22%)
- API 安全细分(Noname/Salt/Wallarm 等)2024 ~$10 亿,增速 40%+
在 CDN 厂商中的财务价值
CDN 流量分发逐渐商品化,而 WAAP 安全是高毛利增值层:
- 网宿科技 安全毛利率 77.23% vs CDN 31.93%
- Akamai 安全收入 2024 突破 $20 亿,超过 CDN 业务
- Cloudflare Application Services(含 WAAP)占总营收 ~50%
行业趋势
- API 安全成下一个金矿 — Akamai $4.5 亿收购 Noname Security、Salt Security 估值 $15 亿
- AI 驱动的 Bot 防御 — GenAI 让爬虫更复杂,需要 ML 对抗
- LLM 应用安全(Prompt 防火墙) — 新兴细分
- CDN 厂商 vs 纯安全厂商 — Cloudflare/Akamai 用流量绑定安全,挤压 Imperva/F5
关联
↑ up::CDN SASE ↓ down::3-08-AI基础设施安全 ∈ belongs_to::3-04-边缘节点-网络分发基础设施