选择WAF首要考虑的问题

　　WAF与源代码扫描

　　WAF不能修复应用程序只能进行实时保护的特点，过去一直备受指责。有些厂商甚至避免使用“WAF”术语形容他们的产品，而是代之以“应用层意识”或“应用层智能”。不过，现在人们已经越来越普遍地认为，通过正确的实施，WAF能够成为多层安全模型中的重要组成部分，因为当人们修补应用程序漏洞的时候WAF可以提供保护。

　　正如WhiteHat Security公司的创始人Jeremiah Grossman在博客中坚持的那样，应用程序中攻击和漏洞太多，根本来不及修复代码本身。他主张，通过评估发现的漏洞应该作为自定义规则嵌入WAF中，这样就能为减轻当前状况并为过后再修复问题提供选择。

　　Gartner公司则建议客户考虑采用技术手段消除应用程序漏洞。在花钱购买设备之前，用户首先应该考虑一下，是否通过更强大的系统开发生命周期和使用源代码扫描器等工具来消除漏洞。WAF对于那些不容易改变的应用程序是非常有用的。

　　虽然一小部分风险承受力低的公司需要采用上述两种方法进行安全防护，但是对于大多数公司而言，采用其中任意一种方法就足够了。

　　硬件设备与软件

　　Jarden Consumer Solutions公司负责全球网络服务和运作的IT主管Jack Nelson表示，他们之所以选择Check Point软件技术VPN-1/FireWall-1集成网络智能技术的一大原因在于，能够有效的对这两者进行配置。Jarden公司有个没有配备IT维护人员的远程办公室，因此Nelson使用基于软件的版本解决方案，当现有WAF失效的时候办公室管理人员就可以轻松地将任何电脑配置为WAF。Nelson表示：“这比再买一个防火墙更灵活，比快速反应维护费更便宜。”这种界面足够简单，不需要防火墙专家配置，另外授权是基于密钥的，因此可以远程应用。

　　在北美的几个小办公室里，Nelson使用Check Point设备，因为他发现这种设备更便于管理和提供支持。

　　内置与外带

　　决定部署内置WAF还是外带的WAF是非常关键的，并不是所有WAF都支持这两种模式。包含不同部署模式的产品并不多见。

　　选择WAF的宜与忌

　　宜：切实弄懂单机和集成产品的不同

　　弄清两种供应商的不同是非常重要的，一种供应商将WAF功能集成到现有应用交付和网络安全产品中，而另一种供应商则专门生产应用程序安全产品。选择供应商的决定因素很多，如系统中已经安装的程序，客户需要的安全级别，客户需要专有产品还是功能齐全的产品等。

　　安全专家表示，致力于应用交付的产品对于应用安全而言是远远不够的，因为这类产品不包括像了解引擎和会话意识等计算密集型功能。了解引擎可以使WAF了解应用软件的行为并生成政策建议。会话认知可以让WAF实时地建立动态的、基于会话的规则，并使用这些规则来判断随后的请求是否有效。

　　Nelson在公司的虚拟专用网络和外部网络应用程序中使用Check Point的集成产品。集成产品可以处理广泛的安全组件，而不只是一个特定于应用程序的防火墙，这一点是非常重要的。“我们希望在不牺牲性能和可管理性的前提下能够加强功能性。”他说。

　　同时，汽车零部件供应商AutoAnything.com公司则采取相反的做法，他们使用Breach Security的单机WAF来保护电子商务的安全。 “一个公司将很多事情都做好是不可能的。 ”其CTO Parag Patel表示。