摘要：摘要：本文从架构和物理尺寸、优点 缺点、检测技术等方面告诉大家如何选择合适的Web应用防火墙。

第1页:企业如何选择合适的Web应用防火墙(1) 第2页:企业如何选择合适的Web应用防火墙(2)

　　API：如果企业想自行开发自定义检测技术或规则，以便进行特别评估，比如逻辑检查，可以通过API来做到这点。咨询一下供应商，看看对方是否的确支持API；如果支持，这些API与WAF分析引擎的集成又有多紧密？
　　问题：
　　WAF有API吗？
　　API与WAF引擎的集成有多紧密？
　　供应商为自定义插件提供哪一种支持？

　　高可用性和高吞吐量：如果WAF在流量很大的环境下，它应该能够在不减慢Web应用速度的情况下，处理庞大流量，如果它是桥接式WAF更要有这种功能。如果一个WAF或Web应用失效或超过安全界限，WAF就得支持故障切换，与负载均衡器共同防止服务受到干扰。一些WAF与高可用性设备紧密集成，可作为Web流量管理系统的组件来运行。如果是独立式WAF，就要确保它们满足贵公司的高可用性需求，以便同时符合性能和架构方面的要求。
　　问题：
　　WAF能与现有的高可用性/负载均衡设备兼容吗？
　　WAF在不丢失流量或流量丢失有限的情况下支持故障切换吗？
　　WAF能支持多大的流量？
　　受保护应用的性能有没有出现任何延迟？
　　添加新的/复杂的规则后，性能有没有因而下降？

　　日志和报告：作为Web应用的监控器和警卫，WAF具有先天的优势，可以将流量和活动记入日志。一些WAF能够捕获全部流量的完整数据包（这在分接/跨接式解决方案中最常见），但是它们都应该将进出Web应用的事务活动方面的关键信息记入日志。
　　问题：
　　WAF维护完整的事务日志吗？
　　日志使用什么格式（如系统日志）？
　　日志是不是以防篡改/防揭换的方式保存在服务器上？
　　日志能够从服务器安全地导出吗？
　　产品是否随带预配置的报告，以便合规和管理？

　　管理多个WAF：如果WAF要部署在复杂的分布式环境中，集中管理功能将大大减轻管理开销。
　　问题：
　　WAF是否工作在用于多处的分布式WAF环境下？
　　安全策略能不能运用到所有WAF？
　　针对单个应用的自定义策略是否得到支持？

　　SSL和加密：加密可以保护传送的数据被人窥视，但这也意味着WAF要是不先对数据解密，就无法检查数据。这方面有两个选择：一是为WAF提供密钥，那样就能对数据解密。二是在WAF处终结SSL连接，然后建立一条新的加密隧道，以便数据从WAF传送到Web服务器/浏览器（建立加密隧道是可选功能）。SSL处理给处理器带来了开销，所以要精心选择可合理终结SSL会话的WAF，考虑使用加速板来卸载一部分处理工作。
　　问题：
　　WAF支持SSL解密吗？
　　是否支持桥接式终结？
　　有没有实现被动解密的密钥共享机制？
　　有没有加速选件，比如加密加速板？

　　新兴协议：规范化和重新组装HTTP和HTML很棘手，但在Web 2.0及之后的环境中，有许多新兴协议和现有的媒体类型会带来恶意软件或安全漏洞。没有哪个WAF能够分析。swf（Flash），找出所有安全漏洞，但至少应支持图像检测，并支持Jscript和PHP等脚本。
　　问题：
　　WAF能处理dHTML、CSS、XML和SOAP吗？
　　WAF能支持对Flash进行扫描吗？支持图像（JPG、GIF和PNG）扫描呢？

　　与Web应用扫描器集成：Web应用扫描器这种产品能够自动扫描来自外部的Web应用，以模拟攻击者可能会发现的那种安全漏洞。扫描器与WAF互为补充，因为它们能发现管理员利用自定义WAF规则可以缓解的安全漏洞。有些Web应用扫描器供应商与WAF供应商结成了合作伙伴，那样扫描过程中发现了安全漏洞后，扫描器就能自动提议采用什么样的自定义规则，使用正确的WAF句法。这有助于迅速消除安全漏洞，也不需要试图制定防止攻击的最佳规则所需要的管理开销。
　　问题：
　　供应商与Web应用扫描器供应商有没有合作伙伴关系？
　　双方产品之间的集成有多紧密？
　　规则能自动更新，还是需要手动干预？

　　总结

　　你在购买WAF产品之前，需要弄清楚上述问题和考虑因素，它们是确保你买到合适产品的基础。想了解更多的详细内容和考虑因素，请参考Web应用防火墙评估标准评估响应矩阵。将上述几点和评估响应阵里面的更多详细内容作为基准，列明需求，并确定必要的功能特性，然后向供应商提交采购需求，敲定最后的需求。虽然WAF市场不像其他一些市场来得拥挤，但事先做好明确采购需求方面的工作将大大缩小产品的选择范围，并有助于确保企业能够得到合适的工具。

　　责任编辑：Lily