选择Web应用防火墙的首要考虑因素

　　WAF病毒源代码扫描。过去，实时保护应用(而不是修补它们)的WAF引起了人们的批评。Kelley说，一些厂商对“WAF”一词怀有戒心，更愿意使用“应用意识”或“应用层智能性”来表示。然而今天，越来越多的人似乎认可如果WAF能正确使用，它可以成为分层安全模型的重要组成部分，在修补应用安全漏洞时提供保护。

　　正如WhiteHat Security创建人Jeremiah Grossman在博客中所说，现在有太多的漏洞，以致无法及时在代码中修补它们。他呼吁通过评估发现的安全漏洞作为定制规则输出到WAF中，提供减轻当前问题和以后修补问题根源的选择。

　　另一方面，Gartner建议客户考虑采用清除应用安全漏洞的技术。Young说：“在花第一块钱之前，考虑你是否能通过更强壮的系统开发周期和使用像源代码扫描器这类工具来清除安全漏洞。”他说，WAF对于更改困难或不可能更改的应用以及那些经常变化的应用很有用。

　　他说，对于多数公司来说，“选择一种或另一种方法就足以了”，虽然存在很小比例的公司，它们的风险容忍度很低，因此它们愿意同时使用两种方法。

　　硬件专用设备还是软件。对于Jarden Consumer Solutions公司全球网络服务与运营IT主管Jack Nelso来说，选择集成Web智能性技术的Check Point Software Technologies VPN-1/FireWall-1网关的主要理由是它提供两种配置。Jarden拥有没有IT工作人员的远程办公室，因此Nelson采用了基于软件的版本，为办公室经理在已有WAF发生故障时将PC配置为WAF提供方便。他说：“这比购买第二个防火墙更灵活，而且比购买快速响应维护更便宜。”他说，界面非常简单，因此不需要防火墙专家，许可证是基于密钥的，因此你可以远程应用它。

　　Nelson在北美的两个小公办室中采用了Check Point专用设备，因为他发现这种设备可管理性更强，提供的支持更及时。

　　联机还是带外部署。事先决定你是否计划联机部署WAF还是进行带外部署至关重要，因为并不是所有的WAF都支持两种模式。Young说：“我常常看到由具有不同部署模式的产品组成的候选名单，或名单上没有一种产品支持设想的设计。”

　　认识并用好WAF

　　企业需要了解独立与集成产品之间的差异。需要了解将WAF功能集成到已有的应用和网络安全产品中的厂商与那些专业从事应用安全的厂商之间的差别。决定谁更适合你取决于多种因素，包括你已经安装的东西、你需要的安全水平以及你是否愿意使用专用产品还是那些提供多种功能的产品。

　　Krikken指出，关注应用提交的产品必须具有线速度的性能，因此不包含像学习引擎和会话意识等计算密集型能力。他说：“它们局限在黑名单与白名单以及进入/离开检查。”学习引擎使WAF能够学习应用的行为并生成策略建议。会话意识使WAF可以实时建立动态的、基于会话的规则，并把它们用来决定随后的请求是否有效。

　　对于将Check Point用于公司的虚拟专用网和外部Web应用的Nelson来说，重要的是这种产品拥有多种安全组件，而不仅仅是专用防火墙。他说：“我们需要在不牺牲性能和可管理性的情况下，提供整合功能的能力。”