須要選個 WAF（WEB應用防火牆），哪一個WAF的比較好？

不少準備上WAF的網站管理者會問：WAF設備哪一個牌子的比較好？

真專家回覆：

國內，大約有80家大大小小的安全商，知名的如：綠盟、啓明、神州數碼等。廠家們先後推出的WAF產品尚在市場的大約有30多款，這些WAF服務着全國500多萬家網站，爲網站提供安全防禦。

安全廠家有大有小，WAF產品價格也有高有低，通常來講，大廠家的WAF，價格天然高，由於大公司成本高嘛，成本天然要轉嫁到消費者身上，服務嘛，理論上是會好一些，但從實際狀況來看，得「遇」，這點很差確定的說大廠就必定好小廠就不定差。

舉個例子來講，總部在上海的大廠，在西安可能一分公司，名爲分公司，實則只是在當地有幾名銷售人員，本地服務的問題，咱們能夠本身推理一下。

而在功能上，是須要認真甄別的，除了主要的防禦常見網絡attack是必備的之外，各家的產品也都各有功能測重，

欲語說：酒越陳越香，在安全產品上，恐怕是要反着的，或者起碼這個道理不能應用在WAF類產品上，爲何這麼說呢，由於IT業的發展是在是太快了，從PC時代，到互聯網時代，再到人工智能時代，不太短短几十年，互聯網急速的發展，使許多業務的基本面也在快速發生着變化。具體到安全方面的WAF產品，因爲安全環境的變化，產品也得跟着環境變化而更迭，這就形成了一個問題，大廠因爲體諒大、轉身難，就形成了產品一旦定型，很不容易在功能上有創新，甚至是跟不上時代的發展需求。直白的說：大廠WAF，每每功能老舊，只具有基本的防禦能力，好比SQL注入、XSS這些。而對於新興的自動化attack，防禦力能較弱。

而中小安全廠商的產品，功能多有創新，好比最近的新興產品：ShareWAF，特別側重自動化attack防禦，要知道，據數據顯示：2018年網絡attack中，有80%以上屬於自動化attack。能夠說，這是最貼近實際需求的防禦功能。

另外，除了商用WAF，還有一類，有免費開源的WAF，但可能是我的小衆產品，據本人調查，國內外開源的幾個WAF，均已多年未曾更新。其實這也並不意外，由於WAF是ToB類產品，免費雖然好聽，但實際上，若是產品不能產生收益，誰又能長時間保護產品功能更新，試問：圖什麼，靠什麼？這也就是開源WAF不能商用的緣由。

再補充一條，國外有個老牌的WAF，名爲ModSecurity，也是開源免費的口號，且是有廠家在背後支持的，但事實上卻並非正真的免費：產品免費用，但它也是傳統的老WAF，須要靠規則進行防禦的，而它的規則庫...是收費的。怎麼樣，是否是有種被套路的感受：）

綜合而言，如今選購WAF，仍是有點難度的。

本人建議這麼選擇：

一、先肯定預算，好比預算5萬，那麼，先詢價，經過價格，先排除一部分產品。

注：5萬隻是個例子，中小企業預算不會太多，若是是政府、銀行這些不差錢，有預算的單位，好比200萬的預算，並且主要是合規性需求，那能夠直接找大廠，價格將會是匹配的，若是用了大廠產品而在防禦效果上有擔心，能夠再疊加一套創新的WAF。

二、再瞭解功能。先經過產品介紹作初步瞭解，知足本身需求的，接下來進行試用。

照以上兩條進行便可。

提及來容易，作起來卻不是那麼容易，須要花很多時間的，WAF產品的功能一般比較多，想了解一個產品，除了開始的從簡介、白皮書、功能書中瞭解，還得進一步的測試，實際防禦效果，甚至對比幾家不一樣家產品的功能。操做起來，時間就花進去了，據本人經驗，選擇一款合適的WAF，前先後後至少得一個月時間。固然，這是很認真操做下的狀況。

若是隻是想照預算選購一款WAF，也有簡單的辦法：詢價，對比，選定一家性價比高的部署便可。這麼操做，少則一週，多則兩週連部署也搞定了，WAF就用上了。有朋友疑惑：不看功能了嗎？看，簡單的看，看官網是否正規，看PPT是否公整。能夠了。由於能夠這麼想：能在互聯網生存的WAF類產品，基本上，是能夠信的過的。