选择WAF的宜与忌

　　宜：切实弄懂单机和集成产品的不同

　　弄清两种供应商的不同是非常重要的，一种供应商将WAF功能集成到现有应用交付和网络安全产品中，而另一种供应商则专门生产应用程序安全产品。选择供应商的决定因素很多，如系统中已经安装的程序，客户需要的安全级别，客户需要专有产品还是功能齐全的产品等。

　　安全专家表示，致力于应用交付的产品对于应用安全而言是远远不够的，因为这类产品不包括像了解引擎和会话意识等计算密集型功能。了解引擎可以使WAF了解应用软件的行为并生成政策建议。会话认知可以让WAF实时地建立动态的、基于会话的规则，并使用这些规则来判断随后的请求是否有效。

　　Nelson在公司的虚拟专用网络和外部网络应用程序中使用Check Point的集成产品。集成产品可以处理广泛的安全组件，而不只是一个特定于应用程序的防火墙，这一点是非常重要的。“我们希望在不牺牲性能和可管理性的前提下能够加强功能性。”他说。

　　同时，汽车零部件供应商AutoAnything.com公司则采取相反的做法，他们使用Breach Security的单机WAF来保护电子商务的安全。 “一个公司将很多事情都做好是不可能的。 ”其CTO Parag Patel表示。

　　忌：不要把WAF当成灵丹妙药

　　许多公司为了PCI合规的目的开始使用WAF，然而，分析师警告称，不要将WAF作为通过合规检测的产品项目。

　　“我见过很多错误的做法，”Young补充说，“很多人认为，只要买了防火墙就可以打发审计员，但是事实并非如此，必须定制适合自身环境的应用程序防御配置才行。”

　　宜：看看超越传统WAF功能的增强功能

　　Krikken表示，虽然传统的WAF客户都是安全团队，不过现在很多WAF产品开始引起了更多普通客户的关注，这要归功于WAF新增加的的分析功能、单点登陆支持和Web服务安全的集成功能。这也是为什么他建议WAF评价应该包括企业架构、应用实施和软件开发的负责人的原因。“这将改善解决方案安全方面的信心，以及减轻可用性和性能问题。 ”他说。

　　事实上，一家全球性能源公司决定应用WAF的目的是满足该公司服务导向架构(SOA)部署安全服务的需要。该公司的总设计师决定采用Reactivity XML加速器安全装置，在该业务被思科收购后，思科将其转变为ACE WAF。当能源公司决定购买一个面向因特网的WAF时，思科向其保证可以利用ACE将两种功能整合在一起，既满足其内部的SOA需求，又保护其Web应用程序的安全。

　　宜：关注WAF的性能监测功能

　　应用监测作为WAF的非传统用法，正日益流行和普及。WAF能够检测性能问题，或者是检测应用程序是否因为无效链接而造成错误网页等问题。

　　忌：不要认为有了WAF就一劳永逸

　　Krikken表示，虽然可以使用黑名单规则来保证基本的安全，但是还是需要准备好为最简单的web应用程序投入持续的时间和精力。“即使有规则模板和学习引擎，为了提高有效性和降低报错，还是需要经常对系统进行初步调整和持续定制。”他说。

　　在全球能源公司，总设计师称用思科的WAF可以在两小时内配置一个应用实例。不过，他希望有更多的像特点过滤等配置方面的非常好的操作指南，而不是客户自己摸索着操作。

　　”

　　宜：关注学习引擎功能

　　有了学习引擎，WAF可以学习和了解应用程序，进而创建甚至执行规则。Krikken表示，在动态环境中，最好让WAF对异常行为作出提醒而不是直接阻止。

　　Patel用了几个月Breach的学习引擎，他称其为简化的网络应用程序。Patel的团队回顾那段时间的工作时发现，Breach的学习引擎可以标记不规则行为。Patel表示：“你需要一定程度的舒适性，它会作出正确的决定 ”然而，随着时间的推移，Patel希望实现自动拦截功能。“随着我们网站流量的增大，WAF判断违规操作并第一时间关闭那些企图是非常必要的。 ”他说。

　　举例来说，WAF阻止其竞争对手处理网站上的产品数据，其中包括数以百万计的库存(SKUs)和价格信息。 “如果我们看到有人按周或按月检查数据，这表示我们的竞争情报蒙受了重大损失。 ”Patel说。

　　宜：关注企业级应用

　　Jarden公司的Nelson选择Check Point安全产品的部分原因就是为了满足企业级应用，其控制台功能可以实现对全公司所有防火墙的集中管理。他特别喜欢的功能就是将所有的防火墙集中到所谓的“容器”中，并在这些容器内应用不同的策略。

　　与此同时，一家营养品制造商的安全通讯工程师表示，其使用的梭子鱼系统(Barracuda system)的最大优势在于它的可扩展性。该公司使用WAF的主要动机是为那些需要接收来自世界各地邮件的用户提供安全的web电子邮件界面。同时WAF也被用来阻止应用层攻击。

　　安全工程师希望，不管用户在什么地方，只要向用户提供一个单一的URL，他们就可以接收电子邮件，他还希望在不中断的情况下能够扩大系统范围。因为他可以在不需要新IP地址的情况下添加额外的WAF设备。“如果开始被重载，我们必须做的事情就是使用另外一个设备，将两个设备整合在一起，获得双倍能力。”他说。