Web应用防火墙的主要考虑

　　WAF与源代码扫描。实时保护应用程序(而不是过后修复应用程序)的WAF过去曾引起一些批评。Kelley说，一些厂商对WAF这个词汇比较谨慎。他们喜欢用“应用程序熟悉”或者“应用层智能”这样的词汇。然而，人们现在越来越多地认识到，如果正确地实施，WAF能够作为一个多层次的安全模式的一个重要的部分，因为它们能够在你修复应用程序安全漏洞的时候提供保护。

　　正如WhiteHat Securit安全公司创始人Jeremiah Grossman在博客中指出的那样，安全漏洞太多了，代码本身很难改正这些安全漏洞。他主张通过这样的方法发现安全漏洞：把评估作为客户化的规则植入到一个WAF，先提出缓解安全漏洞的意见，以后再解决这个问题的根源。

　　Gartner劝告用户考虑一些删除应用程序安全漏洞的做法。Young说，在你花第一笔钱之前，你要考虑一下是否能够通过一个更强大的系统开发生命周期和使用源代码扫描器等工具清除这些安全漏洞。WAF对于很难或者不可能修改的应用程序或者非常动态的应用程序是非常有用的。

　　他说，对于大多数企业来说，选择一个方法或者其它一种方法都是不充分的，尽管有少数容忍风险程度很低的企业需要同时使用这两个方法。

　　硬件设备对软件。Jarden Consumer Solutions公司负责全球网络服务和运营的IT经理Jack Nelson说，选择Check Point软件技术公司的配置集成的Web智能技术的“VPN-1/FireWall-1”网关的最大理由是它有这两种配置。Jarden公司有一个没有配备IT人员的远程办公室，因此，Nelson使用软件解决方案让那个办公室的员工简单地把任何PC重新设置为WAF，如果现有的WAF崩溃的话。这是一种比购买第二个防火墙更灵活的方法，并且比支付快速反应维修的费用更便宜。他说，这个接口非常简单，不需要防火墙专家。这个软件许可证是以密钥为基础的，因此你可以远程使用这个软件。