企业怎么选择国产Web应用防火墙?

企业怎么选择国产Web应用防火墙?

2005年前后，Web应用防火墙(WAF)进入了IT安全领域，最早提供这类产品的供应商是几家新兴公司，如Perfecto、KaVaDo和NetContinuum。工作原理相当简单：随着攻击范围向IP堆栈的上层移动，瞄上针对特定应用的安全漏洞，这时势必需要开发旨在识别和预防这些攻击的产品。虽然网络防火墙在阻止较低层攻击方面很有效，但并不擅长解开IP数据包层，以分析较高层协议;这就意味着，网络防火墙缺少应用感知功能，而要关闭自定义Web应用中的漏洞窗口，就需要这种功能。

但是尽管WAF炒得很火，供应商承诺的优点也很多，但最终用户的使用体验却相当差。早期产品存在诸多缺点，比如误报率高，给受保护应用的性能带来负面影响，又很难有效地管理。2005年前后，包括思科、思杰和F5在内的大牌网络供应商或收购或开发了Web层监控技术，WAF随之成为一道公认的边界安全防线。促使WAF得到主流用户采用的另一个因素是，出台了支付卡行业数据安全标准(PCI-DSS)，该标准在第6.6项需求中明确要求使用具有应用层感知功能的防火墙。

如今，WAF已是IT安全工具箱中一个公认的组成部分。但许多企业仍在为这个问题而纠结：该买哪一种WAF、如何最合理地把它们集成到Web应用风险管理产品系列中。本文分析了采购WAF方面一些主要的决策因素，并给出了相应的建议，以便确保它们很适合企业架构和网络生态系统。

1、架构和物理尺寸

WAF应该适合于现有的架构，并采用得到安全操作团队接受和支持的