选择WAF首要考虑的问题

　　WAF与源代码扫描

　　WAF不能修复应用程序只能进行实时保护的特点，过去一直备受指责。有些厂商甚至避免使用“WAF”术语形容他们的产品，而是代之以“应用层意识”或“应用层智能”。不过，现在人们已经越来越普遍地认为，通过正确的实施，WAF能够成为多层安全模型中的重要组成部分，因为当人们修补应用程序漏洞的时候WAF可以提供保护。

　　正如WhiteHat Security公司的创始人Jeremiah Grossman在博客中坚持的那样，应用程序中攻击和漏洞太多，根本来不及修复代码本身。他主张，通过评估发现的漏洞应该作为自定义规则嵌入WAF中，这样就能为减轻当前状况并为过后再修复问题提供选择。

　　Gartner公司则建议客户考虑采用技术手段消除应用程序漏洞。在花钱购买设备之前，用户首先应该考虑一下，是否通过更强大的系统开发生命周期和使用源代码扫描器等工具来消除漏洞。WAF对于那些不容易改变的应用程序是非常有用的。

　　虽然一小部分风险承受力低的公司需要采用上述两种方法进行安全防护，但是对于大多数公司而言，采用其中任意一种方法就足够了。

　　硬件设备与软件

　　Jarden Consumer Solutions公司负责全球网络服务和运作的IT主管Jack Nelson表示，他们之所以选择Check Point软件技术VPN-1/FireWall-1集成网络智能技术的一大原因在于，能够有效的对这两者进行配置。Jarden公司有个没有配备IT维护人员的远程办公室，因此Nelson使用基于软件的版本解决方案，当现有WAF失效的时候办公室管理人员就可以轻松地将任何电脑配置为WAF。Nelson表示：“这比再买一个防火墙更灵活，比快速反应维护费更便宜。”这种界面足够简单，不需要防火墙专家配置，另外授权是基于密钥的，因此可以远程应用。

　　在北美的几个小办公室里，Nelson使用Check Point设备，因为他发现这种设备更便于管理和提供支持。

　　内置与外带

　　决定部署内置WAF还是外带的WAF是非常关键的，并不是所有WAF都支持这两种模式。包含不同部署模式的产品并不多见。