許多組織在沒有足夠的安全措施的情況下向客戶提供更新的豐富而復雜的 Web 內容，并且灌輸了重大風險，并暴露于來自頻繁變化的 IP 地址的許多潛在惡意攻擊。強大的 WAF 還允許遵守一些關鍵的監管標準，如 HIPAA 和 PCI DSS。

在當今時代，企業正在通過使用更多基于 Web 和云托管的應用程序來探索他們的業務，因此更強大的Web 應用程序防火墻 (WAF)并不是一種奢侈——它是一種要求，一種需要。

目前，這些基于云的應用程序已經非常流行，因此此類惡意攻擊已大大增加，從而威脅到企業數據。這尤其使管理員和各種安全團隊更難以控制這些最新的攻擊和保護措施。此外，與此同時，各個安全團隊應滿足跨各種傳統和云環境的數據共享和在線商務的合規性要求。

以下是在選擇 WAF 以保護企業時必須考慮的一些關鍵因素的清單：

? 部署模型

各種企業可能會繼續使用硬件 WAF 設備來保護在傳統數據中心管理的關鍵應用程序。他們還可以使用其他 WAF 部署模型獲得與應用程序相關的安全要求。傳統上，WAF 的概念被部署為各種企業數據中心內部的硬件設備。但隨著應用程序遷移到基于云的基礎架構即服務?(IaaS) 環境和組織利用云軟件即服務(SaaS) 應用程序、管理員和安全團隊面臨著保護其數據中心以外的應用程序的挑戰。這意味著他們不能在性??能、可擴展性和可管理性等因素上妥協。組織通常很難控制和維持對新企業的必要控制，這些新企業為駐留在受控環境之外的關鍵 Web 應用程序提供有限的安全選項。

? 網絡架構和應用基礎設施

在這個特定的內聯模型中，可以使用三種非常重要的方法來傳遞和控制流量：反向代理模式、路由器模式和橋接模式。

– 反向代理是最常見和最常用的操作模式。它基本上通過終止所有傳入流量并代表請求者與服務器進行交互來工作。反向代理是安全功能的首選模式。
– 路由器模式與反向代理模式非常相似，但它不通過終止針對服務器的請求來工作，并且實際上提供的服務很少。也稱為透明模式。通常，透明模式使用 id 用于流量記錄和報告。
– 在橋接模式下：在此模式下，WAF 充當第 2 層交換機，具有非常明確且有限的托管防火墻服務。

從技術上講，操作模式將通過了解應用程序在網絡上的基本設置方式來確定。因此，在選擇 WAF 之前，我們必須仔細考慮最適合網絡基礎設施和網絡環境的各種部署選項，并且必須了解需要使用的服務范圍。

? 安全有效性和檢測技術

傳統上，最廣泛使用的 WAF 配置是一種消極的安全模型，它基本上啟用所有可能的交易，但包含惡意威脅或攻擊的交易除外。正模型和負模型都足以在“安全”和“功能”之間取得微妙的平衡。近幾十年來，積極的安全模型變得越來越流行。這種安全方法會阻止最大流量，只允許已知安全且沒有威脅的交易。該概念基于嚴格的內容驗證和統計分析。然而，僅憑這些都無法在所有環境中提供最有效和最經濟的解決方案。

? 性能、高可用性和可靠性

WAF 應包括以下可直接解決這些因素的功能：

– 基于硬件的 SSL 加速減輕了后端 Web 服務器的負擔。
– 通過跨多個后端 Web 服務器負載平衡 Web 請求來優化性能
– 通過自動內容壓縮提供高效的網絡傳輸。
– 后端服務器 TCP 通過連接池減少，連接池是通過使請求能夠使用相同的連接來完成的。
– 虛擬補丁和掃描器集成。

Web 應用程序惡意攻擊或漏洞通常是數據泄露的最常見原因。擁有WAF的企業可以很容易地檢測到任何惡意攻擊，并通過提供虛擬補丁來提供解決方案。虛擬補丁基本上是針對漏洞的修復，以防止黑客和攻擊者進行各種網絡利用。然而，開發人員和程序員將他們的最佳實踐放在安全編碼中，并可能確保對此類應用程序進行充分的安全測試，但所有應用程序都容易出現漏洞。修復不需要立即對軟件進行任何更改，它允許各種組織保護應用程序。針對每個應用程序的各種惡意攻擊和暴露使公司的 Web 基礎設施暴露在漏洞中，例如跨站點腳本、SQL 注入、餅干中毒等。Virtual Patches 具有自動攻擊檢測和反欺詐功能。

? PCI DSS 合規性

為了安全起見，PCI DSS 要求正在得到有效修訂，以避免任何惡意攻擊并確保用戶數據安全。制造各種惡意攻擊以竊取敏感的信用卡信息。當今時代，越來越多的安全漏洞和數據盜竊事件經常發生。因此，如果您的組織處理敏感的信用卡信息，您必須嘗試遵守 PCI DSS 要求。出于安全目的，必須加強 Web 應用程序的保護，它們通常是易受攻擊的惡意攻擊者錯誤訪問用戶敏感持卡人數據的途徑。

? 可見性和報告

除了保護防火墻外，這還有助于組織安全地收集和分析數據，以便更好地了解當前的威脅形勢，并了解您的應用程序的安全程度。它提供有關各種基于 Web 的嘗試以獲取對用戶敏感數據的訪問權限、可能會破壞數據庫或對數據庫執行 DoS 攻擊的報告。

? 設備 ID 和指紋識別

瀏覽器指紋識別主要是為了識別客戶端而獲取瀏覽器屬性。這基本上是識別或重新識別訪問用戶、用戶代理或設備的一個很好的功能。客戶端的這種持久標識非常重要，允許跨站點跟蹤。

然而，不能說基于指紋的識別總是可靠的。它可能不適用于所有設備或瀏覽器類型。建議與您的 WAF 供應商核對受支持設備/瀏覽器的依賴列表、受支持的特定功能、屬性列表等。

? SSL 卸載

將 SSL 計算卸載到其他網絡資源的過程基本上允許各種應用程序將大量 CPU 資源專用于其他面向性能的處理任務。但是，SSL 處理可能會對應用程序資源造成壓力。支持SSL 證書卸載的防火墻增加了它們保護的應用程序的利用率，同時消除了購買額外硬件的需要，并增加了 WAF 本身的價值。

? 行為分析

行為分析功能可以助您一臂之力，使您的組織更容易預測、輕松識別和響應攻擊。有一些 WAF 可以分析和理解流量模式。此外，此類 WAFS 還會根據一組相關規則掃描異常行為。一個優秀的 WAF 會評估平均服務器響應時間、每秒的各種事務以及請求大量流量的各種會話，以確定是否發生了攻擊。

? 易于管理

早些時候，在過去的幾十年中，部署防火墻曾經是一項有些困難且耗時的工作，對于手動規則的配置和實施也是如此。由于策略創建，防火墻可以使用安全策略進行處理，這些安全策略可以快速解決常見漏洞和對 Web 應用程序（包括 HTTP(S)）的攻擊暴露。攻擊。管理層出色地比較了策略并提供了跨不同防火墻的功能的真實評估，從而最終加強了整體安全態勢。

? 可擴展性和性能

組織需要確保應用程序的可用性，即使它們受到攻擊也是如此。它可以通過優化應用程序和加速技術（如快速緩存、壓縮和 TCP 優化）來提供所需的性能。他們以績效為導向。最好的 WAF，具有強大的設備和集中管理，可以輕松處理大量流量。

? 供應商發布周期

建議向您的 WAF 供應商咨詢他們的發布周期。由于威脅形勢基本上變化如此迅速和動態，提供更常見版本的供應商可以幫助降低您暴露的可能性，并最大限度地降低您的應用程序被新威脅或正在出現的威脅破壞的風險。