傳統的防火牆也可以提供一些防護,只是WAF更具有專一性,可以檢測應用程序的行爲是否如設計的那樣,WAF使用戶能夠編寫特殊的規則來防止攻擊再次發生。
合格的WAF產品需要完全解析和分析http,提供正面的安全模型,正面的安全這個內測只允許被認爲合法的傳輸流通過。這種有時叫做白名單的特性爲應用提供外部輸入確認保護。應用層規則,WAF規則應當普遍適用,能夠檢測如SQL注入這種攻擊的變種。基於會話的保護,http最大的缺點之一就是缺少內建的可靠會話機制。WAF必須彌補應用會話管理的不足,保護它免受基於會話的和長時間的攻擊。提供細粒度的政策管理。
選擇web應用防火牆的標準:非常少的誤警報,缺省防禦措施的強度。高性能和易於學習的模式;可以預防的安全漏洞的類型;將不同用戶限制在他們在當前會話中所看到的東西的能力;配置防止特殊問題的能力;形式,最好是硬件產品。
若想認識並用好WAF,企業需要了解獨立與集成產品之間的差異。需要了解將WAF功能集成到已有的應用和網絡安全產品中的廠商與那些從事應用安全的廠商之間的差別。決定誰更適合你取決於多種因素,包括你已經安裝的東西、你需要的安全水平以及你是否願意使用專用產品還是那些提供多種功能的產品。