當(dāng)企業(yè)在Web應(yīng)用防火墻產(chǎn)品選型時(shí)選擇了一個(gè)或者多個(gè)需要評(píng)估的產(chǎn)品后，應(yīng)該如何進(jìn)行評(píng)估呢？本文我們將和大家一起探討企業(yè)應(yīng)如何評(píng)估Web應(yīng)用防火墻解決方案。

[[65537]]

評(píng)估標(biāo)準(zhǔn)1：可管理性

你需要執(zhí)行的第一個(gè)對(duì)比測(cè)試是可管理性。如果Web應(yīng)用防火墻難以管理，并不提供你需要的政策靈活性，稍后你將為此付出代價(jià)。雖然當(dāng)你在談?wù)摱ㄖ茟?yīng)用時(shí)，即插即用設(shè)備的要求可能有點(diǎn)太過(guò)分，但初始部署不應(yīng)太具挑戰(zhàn)性。你會(huì)想知道能否通過(guò)努力讓W(xué)eb應(yīng)用防火墻來(lái)保護(hù)那些不需要不斷監(jiān)管和微調(diào)的應(yīng)用程序。

可讀警報(bào)和報(bào)告是Web應(yīng)用防火墻應(yīng)該具備的必要功能，這些功能能夠?yàn)槟闾峁╆P(guān)于Web應(yīng)用防火墻的精準(zhǔn)信息，并在出現(xiàn)問(wèn)題時(shí)，提供概述性的威脅描述。評(píng)估的互補(bǔ)方面是Web應(yīng)用防火墻的可用性，這包括提供清晰威脅信息的GUI，能夠向下挖取和審查警報(bào)的詳細(xì)信息。理想情況下，你還能夠生成與配置和定制化報(bào)告，并能輕松地調(diào)整安全策略。

當(dāng)你在處理分布在世界各地的Web應(yīng)用基礎(chǔ)設(shè)施時(shí)，中央管理也很有幫助。你想要管理不同的WAF設(shè)備，而不需要分別連接到每個(gè)設(shè)備，這同樣也使企業(yè)能夠橫跨整個(gè)企業(yè)范圍建立、維護(hù)和執(zhí)行統(tǒng)一的安全政策。

評(píng)估標(biāo)準(zhǔn)2：性能

當(dāng)涉及Web應(yīng)用防火墻時(shí)，性能是一個(gè)關(guān)鍵因素。Web應(yīng)用防火墻的部署應(yīng)該不能影響現(xiàn)有基礎(chǔ)設(shè)施的性能，包括應(yīng)用程序和網(wǎng)絡(luò)設(shè)備等。這意味著即使Web應(yīng)用防火墻作為應(yīng)用程序的安全代理，該應(yīng)用程序應(yīng)該繼續(xù)能夠傳輸數(shù)據(jù)，而不會(huì)遇到請(qǐng)求積壓或者重負(fù)載的情況，該應(yīng)用程序應(yīng)該像沒(méi)有Web應(yīng)用防火墻一樣運(yùn)行。

從最終用戶的角度來(lái)看，Web應(yīng)用防火墻應(yīng)該是完全透明的。用戶不應(yīng)該遇到任何明顯的延遲或者服務(wù)阻礙。

為了避免性能降級(jí)，你要確保Web應(yīng)用防火墻的性能符合或者超過(guò)應(yīng)用程序基礎(chǔ)設(shè)施的其他因素。

評(píng)估標(biāo)準(zhǔn)3：最小誤報(bào)

誤報(bào)是一個(gè)很重要的方面。你不會(huì)希望看到Web應(yīng)用防火墻對(duì)于每個(gè)傳入的請(qǐng)求都發(fā)出警報(bào)。這就像“狼來(lái)了”一樣的道理，當(dāng)惡意請(qǐng)求真正來(lái)到時(shí)，你可能會(huì)因?yàn)檎`報(bào)大幅增加而忽視這個(gè)惡意請(qǐng)求。如果你是在阻止模式，這個(gè)問(wèn)題將更加嚴(yán)重。你想做的最后一件事情將是阻止合法流量，這最終將破壞部署在線應(yīng)用程序的意義。請(qǐng)確保你正在評(píng)估的Web應(yīng)用防火墻具有最小的誤報(bào)率，只有為數(shù)不多的幾個(gè)。

評(píng)估標(biāo)準(zhǔn)4：處理實(shí)時(shí)攻擊流量

測(cè)試Web應(yīng)用防火墻的最佳途徑是使用實(shí)施流量。通過(guò)評(píng)估Web應(yīng)用防火墻的產(chǎn)品設(shè)置，你能夠得到兩個(gè)好處：

-測(cè)試是否存在性能降級(jí)(這與前面的評(píng)估標(biāo)準(zhǔn)相呼應(yīng))

-測(cè)試Web應(yīng)用防火墻是否能夠阻止攻擊.當(dāng)你想要確保Web應(yīng)用防火墻正在保護(hù)受保護(hù)應(yīng)用程序中的所有元素以及測(cè)試動(dòng)態(tài)組件(例如Javascript和XML)時(shí)，這一點(diǎn)尤其必要。在Web應(yīng)用防火墻學(xué)習(xí)應(yīng)用程序的情況下，這更加重要，因?yàn)檫@種產(chǎn)品設(shè)置能夠知名Web應(yīng)用防火墻是否在正確地學(xué)習(xí)應(yīng)用程序流量。進(jìn)一步深入這個(gè)評(píng)估標(biāo)準(zhǔn)，你還應(yīng)該對(duì)應(yīng)用程序進(jìn)行修改，然后看看Web應(yīng)用防火墻是否檢測(cè)到了這種修改。

建議執(zhí)行互補(bǔ)設(shè)置：在應(yīng)用程序開發(fā)過(guò)程中使用Web應(yīng)用防火墻。這種部署能夠幫助收集攻擊者情報(bào)，你在建設(shè)軟件時(shí)你能夠添加到你的測(cè)試用例中。

評(píng)估標(biāo)準(zhǔn)5：納入現(xiàn)有的基礎(chǔ)設(shè)施

Web應(yīng)用防火墻應(yīng)該不會(huì)對(duì)現(xiàn)有基礎(chǔ)設(shè)施帶來(lái)任何改變，這是一個(gè)重要的方面，當(dāng)你在考慮Web應(yīng)用對(duì)于改變極其敏感時(shí)。對(duì)網(wǎng)絡(luò)的任何改變，Web服務(wù)器操作系統(tǒng)、應(yīng)用軟件或者后端數(shù)據(jù)庫(kù)都會(huì)對(duì)可用性、性能和安全帶來(lái)影響。你不會(huì)希望破壞現(xiàn)有的基礎(chǔ)設(shè)施，只為適應(yīng)Web應(yīng)用防火墻。

作為評(píng)估過(guò)程的一部分，你需要確保Web應(yīng)用防火墻的安裝幾乎對(duì)數(shù)據(jù)中心基礎(chǔ)設(shè)施沒(méi)有任何影響，雖然Web應(yīng)用防火墻已經(jīng)部署到位，它應(yīng)該對(duì)于網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)庫(kù)幾乎是透明的。

評(píng)估標(biāo)準(zhǔn)6：與現(xiàn)有企業(yè)系統(tǒng)整合

Web應(yīng)用防火墻并不是技術(shù)孤島。任何引入網(wǎng)絡(luò)的設(shè)備都應(yīng)該與現(xiàn)有系統(tǒng)整合。你應(yīng)該檢查的重要的整合點(diǎn)包括安全信息事件管理(SIEM)系統(tǒng)、日志保留系統(tǒng)、身份管理、事件管理、應(yīng)用程序掃描器和代碼分析工具。Web應(yīng)用防火墻和其他元素之間的適當(dāng)交互提供了分層和自動(dòng)的安全性。

如果你遵循以上步驟，你將以自己的方式實(shí)現(xiàn)一個(gè)成功的Web應(yīng)用防火墻部署。