盡管有很多媒體都有關于使用web應用防火墻的報道，但是我們必須了解這些設備只是解決企業網絡安全問題的一部分。即使如此，用戶還必須知道web應用防火墻問題大量存在著。

一直以來，管理層都有一個誤解，他們認為只要有防火墻，網絡就會正常。而且經銷商會更加誤導這種錯誤的理解，他們推崇web應用防火墻作為最佳解決方案——同時可以實現PCI DSS的需求。實際上，和其他周邊-中央安全設備一樣，如果web應用防火墻沒有合理地設置來保護所需的一切的話，包括外部和局域網上——他們很可能會創建錯誤的安全檢測。

web應用防火墻可以保證基于Web的惡意軟件不踏足你的企業內部。它也可以阻止黑客利用漏洞進入OSI第7層，反過來說，它可以防止進一步的侵入。然而，對于web應用防火墻還存在一些問題。

使用web應用防火墻的問題

WAF最顯著的問題是它不能阻止某些必須防范的攻擊。WAFs聲稱可以通過滲透測試工具來檢測攻擊，如用Metasploit來獲取一臺未打補丁的web服務器的遠程命令提示符或者輕松下載編譯開發代碼來觸發OpenSSL緩沖溢出區。其實這也未必——特別是當攻擊通過SSL實現時。

WAF也會被誤用來解決已知的安全問題，雖然他們不能真正的解決。比如，我最近遇到的情況,有人想部署WAF來解決隱碼攻擊。短期內這沒什么，但依靠虛擬補丁并不能真正修復。事實上，這種做法會掩蓋問題，久而久之導致更大的安全隱患。

除了web應用防火墻還有其他選擇嗎？

如果你考慮在你的環境中添加WAF，請首先考慮你的現有設備。使用另一個物理設備可能會增添復雜性，而復雜性是安全的天敵。許多基礎防火墻都有HTTP檢測功能。找找看你有沒有像WAF一樣的功能。我看過類似的很多案例，這些設備本來就有WAF功能，而用戶卻不知道。當然把WAF功能作為單獨模塊添加到現存的防火墻中也是有可能的。

使用web應用防火墻的方法

只是開啟WAF功能并不能保護你所有的網絡。為了最優化你的配置，你必須清楚你運行的基于Web的系統平臺（包括其他人管理的系統）。你還要了解你Web應用程序上的業務邏輯。白名單和行為分析技術發現某些WAFs適合創建具體的應用信息，但是這個過程會很復雜。

一個很好的調整保護的方法是使用Web弱點掃描工具，如AcunetixWeb弱點掃描器或WebInspect，然后設置測試用例，包括用WAF保護和不用WAF保護。一旦一切設置完成，最好在通過自動掃描和手動分析來建立全面的Web弱點評估系統。

總之，保持簡單是很重要的。這意味著在你的現存防火墻上使用WAF控制，或者需要浪費時間在很多不同的經銷商上，看誰的方案能最好的滿足你和公司的需求。或者根本不需要WAF——至少從目前來看是這樣的。

原文鏈接：http://netsecurity.51cto.com/art/201102/246425.htm