解析如何评估并部署Web应用防火墙

核心提示： 笔者曾与安全设备提供商交流中表示，应用程序中存在太多漏洞，解析如何评估并部署Web应用防火墙(3)，根本来不及修复代码本身，并建议通过评估发现的漏洞应该作为自定义规则嵌入WAF中，包括系统中已经安装了哪些程序，企业需要的安全级别，这样就能够减轻目前的状况并能过后再修复问题，另一方面

笔者曾与安全设备提供商交流中表示，应用程序中存在太多漏洞，根本来不及修复代码本身，并建议通过评估发现的漏洞应该作为自定义规则嵌入WAF中，这样就能够减轻目前的状况并能过后再修复问题。

另一方面，Gartner公司建议客户考虑采用消除应用程序漏洞的技术，“在你花钱购买设备之前，应该考虑一下，能否通过更强大的系统开发生命周期来消除漏洞，或者通过使用其他工具，如源代码扫描器。”

对于大多数企业而言，采用其中任意一种方法就足够了，虽然对于应用安全需求很好的金融或内源用户而言，笔者认为综合的安全保护措施不失为更好的选择。

·硬件设备与软件比较

Jarden Consumer Solutions公司的全球网络服务和运作IT主管Jack Nelson表示，他们选择硬件安全网关（集成Web应用安全技术）的主要原因在于，能够有效的对这两者进行配置。Jarden公司有个没有配备IT人员的远程办公室，因此Nelson使用基于软件的版本解决方案，这样办公室管理人员就可以在现有WAF失效的时候轻松将任何电脑配置为WAF。“这比购买第二个防火墙更灵活，这样比快速反应维护费要便宜，”他表示，这种界面非常简单并且不需要防火墙专家来配置，另外授权是基于密钥的，这样比较适用于远程。

专家表示，首先就想清楚部署内置WAF还是外带的WAF是至关重要的，并不是所有WAF都支持这两种模式，很少看到包含不同部署模式的产品。

关于WAF的注意事项

清楚理解独立产品和集成产品的区别。我们有必要区分这两种供应商：将WAF功能集成到现有应用交付和网络安全产品中的供应商以及那些专门生产应用程序安全产品的供应商。选择哪种供应商主要取决于很多因素，包括系统中已经安装了哪些程序，企业需要的安全级别，企业是需要专门的产品还是拥有广泛功能的产品。