WAF该做的和不该做的

　　一定要理解单独和集成的产品之间的区别。重要的是理解把WAF功能集成到自己现有的应用程序交付产品和网络安全产品的那些厂商与专业应用程序厂商之间的区别。要根据许多因素决定哪一个厂商适合你。这些因素包括：你已经安装了什么、你需要的安全水平、你更适合专门的产品和具有广泛功能的产品。

　　不要把WAF当作万灵药。许多企业为了遵守PCI法规转向WAF。然而，分析师Young警告称，不要把WAF当作一个实验的项目。我看到许多错误和正在实施的糟糕的投资。人们以为“如果我购买了防火墙，审计者就会走开。”但是，购买防火墙在这方面还是不够的。你必须客户化你的应用程序防御使其适合你的环境。

　　一定要使眼光超越传统的WAF功能。虽然传统的WAF客户是企业的安全团队，但是，许多产品现在对于更广泛的用户都更有吸引力，因为这些产品有分析功能、支持单点登录并且集成了Web服务安全功能。因此，Krikken说，他建议企业进行WAF评估应该让那些复杂企业架构、应用程序交付和软件开发的人员参加。这有助于提高人们对解决方案安全方面的信心，减轻人们对可用性和性能方面的担心。

　　一定要考虑WAF性能监视。应用程序监视是日益流行的WAF的非传统的应用方式之一，因为WAF能够检测到性能问题或者这个应用程序是否由于损坏的链接而提供了错误的网页。

　　不要认为WAF是一劳永逸的。Krikken说，虽然你能够使用现成的黑名单规则用于基本的安全，但是，你要准备为最简单的Web应用程序投入时间和努力。即使采用规则模板和学习引擎，最初的调整和正在进行的客户化一般都需要优化效率和减少误报。

　　一定要考虑一个学校引擎功能。采用学习引擎功能，WAF能够了解应用程序以便创建、甚至强制执行规则。Krikken说，在一个非常动态的环境，WAF最好是提醒你异常的行为，而不是封锁这个行为。

　　一定要考虑企业级的能力。Jarden公司的Nelson选择Check Point公司产品的部分原因就是其企业级的控制台。这个控制台能够对Jarden所有的防火墙提供集中的管理。Nelson非常喜欢把许多防火墙组合在一个他称之为“集装箱”的东西中，并且在这些集装箱中采用不同的政策。

　　Nelson要向用户提供一个单个的URL以便访问电子邮件，无论这些电子邮件在什么地方。他要在不中断系统的情况下对系统进行升级。由于他能够增加额外的WAF设备并且不给这个设备新的IP地址，这对用户来说将是透明的。如果工作量开始过载，我们必须做的就是再增加一个WAF设备，并且把这个设备与原来的连接在一起。这样，我们的容量就增加了一倍。