选择Web应用防火墙的标准

　　一个关注提高应用软件的安全性的开放社区――开放Web应用安全项目(OWASP)建议使用以下选择WAF的标准：

　　※ 非常少的误报警(即，永远应当允许授权的请求)。

　　※ 缺省(出厂配置)防御措施的强度。

　　※ 高性能和易于学习的模式。

　　※ 可以防御的安全漏洞的类型。

　　※ 将不同用户限制在他们在当前会话中所看到的东西的能力。

　　※ 配置防止特殊问题(如紧急补丁)的能力。

　　※ 形式：最好是硬件产品。

　　选择Web应用防火墙的首要考虑因素

　　WAF病毒源代码扫描。过去，实时保护应用(而不是修补它们)的WAF引起了人们的批评。Kelley说，一些厂商对“WAF”一词怀有戒心，更愿意使用“应用意识”或“应用层智能性”来表示。然而今天，越来越多的人似乎认可如果WAF能正确使用，它可以成为分层安全模型的重要组成部分，在修补应用安全漏洞时提供保护。

　　正如WhiteHat Security创建人Jeremiah Grossman在博客中所说，现在有太多的漏洞，以致无法及时在代码中修补它们。他呼吁通过评估发现的安全漏洞作为定制规则输出到WAF中，提供减轻当前问题和以后修补问题根源的选择。

　　另一方面，Gartner建议客户考虑采用清除应用安全漏洞的技术。Young说：“在花第一块钱之前，考虑你是否能通过更强壮的系统开发周期和使用像源代码扫描器这类工具来清除安全漏洞。”他说，WAF对于更改困难或不可能更改的应用以及那些经常变化的应用很有用。

　　他说，对于多数公司来说，“选择一种或另一种方法就足以了”，虽然存在很小比例的公司，它们的风险容忍度很低，因此它们愿意同时使用两种方法。

　　硬件专用设备还是软件。对于Jarden Consumer Solutions公司全球网络服务与运营IT主管Jack Nelso来说，选择集成Web智能性技术的Check Point Software Technologies VPN-1/FireWall-1网关的主要理由是它提供两种配置。Jarden拥有没有IT工作人员的远程办公室，因此Nelson采用了基于软件的版本，为办公室经理在已有WAF发生故障时将PC配置为WAF提供方便。他说：“这比购买第二个防火墙更灵活，而且比购买快速响应维护更便宜。”他说，界面非常简单，因此不需要防火墙专家，许可证是基于密钥的，因此你可以远程应用它。

　　Nelson在北美的两个小公办室中采用了Check Point专用设备，因为他发现这种设备可管理性更强，提供的支持更及时。

　　联机还是带外部署。事先决定你是否计划联机部署WAF还是进行带外部署至关重要，因为并不是所有的WAF都支持两种模式。Young说：“我常常看到由具有不同部署模式的产品组成的候选名单，或名单上没有一种产品支持设想的设计。”