很多準備上WAF的網站管理者會問:WAF設備哪個牌子的比較好?
真專家回覆:
國內,大約有80家大大小小的安全商,知名的如:綠盟、啓明、神州數碼等。廠家們前後推出的WAF產品尚在市場的大約有30多款,這些WAF服務着全國500多萬家網站,爲網站提供安全防護。
安全廠家有大有小,WAF產品價格也有高有低,一般來說,大廠家的WAF,價格自然高,因爲大公司成本高嘛,成本自然要轉嫁到消費者身上,服務嘛,理論上是會好一些,但從實際情況來看,得“遇”,這點不好肯定的說大廠就一定好小廠就不定差。
舉個例子來說,總部在上海的大廠,在西安可能一分公司,名爲分公司,實則只是在當地有幾名銷售人員,本地服務的問題,我們可以自己推理一下。
而在功能上,是需要認真甄別的,除了主要的防護常見網絡***是必備的以外,各家的產品也都各有功能測重,
欲語說:酒越陳越香,在安全產品上,恐怕是要反着的,或者起碼這個道理不能應用在WAF類產品上,爲什麼這麼說呢,因爲IT業的發展是在是太快了,從PC時代,到互聯網時代,再到人工智能時代,不過短短幾十年,互聯網急速的發展,使許多業務的基本面也在快速發生着變化。具體到安全方面的WAF產品,由於安全環境的變化,產品也得跟着環境變化而更迭,這就造成了一個問題,大廠由於體諒大、轉身難,就造成了產品一旦定型,很不容易在功能上有創新,甚至是跟不上時代的發展需求。直白的說:大廠WAF,往往功能老舊,只具備基本的防護能力,比如SQL注入、XSS這些。而對於新興的自動化***,防護力能較弱。
而中小安全廠商的產品,功能多有創新,比如最近的新興產品:ShareWAF(http://www.sharewaf.com/),特別側重自動化***防護,要知道,據數據顯示:2018年網絡***中,有80%以上屬於自動化***。可以說,這是最貼近實際需求的防護功能。
另外,除了商用WAF,還有一類,有免費開源的WAF,但多是個人小衆產品,據本人調查,國內外開源的幾個WAF,均已多年不曾更新。其實這也並不意外,因爲WAF是ToB類產品,免費雖然好聽,但實際上,如果產品不能產生收益,誰又能長時間保護產品功能更新,試問:圖什麼,靠什麼?這也就是開源WAF不能商用的原因。
再補充一條,國外有個老牌的WAF,名爲ModSecurity(http://www.modsecurity.org/),也是開源免費的口號,且是有廠家在背後支持的,但事實上卻並不是正真的免費:產品免費用,但它也是傳統的老WAF,需要靠規則進行防護的,而它的規則庫...是收費的。怎麼樣,是不是有種被套路的感覺:)
綜合而言,現在選購WAF,還是有點難度的。
本人建議這麼選擇:
1、先確定預算,比如預算5萬,那麼,先詢價,通過價格,先排除一部分產品。
注:5萬隻是個例子,中小企業預算不會太多,如果是政府、銀行這些不差錢,有預算的單位,比如200萬的預算,而且主要是合規性需求,那可以直接找大廠,價格將會是匹配的,如果用了大廠產品而在防護效果上有擔憂,可以再疊加一套創新的WAF。
2、再瞭解功能。先通過產品介紹做初步瞭解,滿足自己需求的,接下來進行試用。
照以上兩條進行即可。
說起來容易,做起來卻不是那麼容易,需要花不少時間的,WAF產品的功能通常比較多,想了解一個產品,除了開始的從簡介、白皮書、功能書中瞭解,還得進一步的測試,實際防護效果,甚至對比幾家不同家產品的功能。操作起來,時間就花進去了,據本人經驗,選擇一款合適的WAF,前前後後至少得一個月時間。當然,這是很認真操作下的情況。
如果只是想照預算選購一款WAF,也有簡單的辦法:詢價,對比,選定一家性價比高的部署即可。這麼操作,少則一週,多則兩週連部署也搞定了,WAF就用上了。有朋友疑惑:不看功能了嗎?看,簡單的看,看官網是否正規,看PPT是否公整。可以了。因爲可以這麼想:能在互聯網生存的WAF類產品,基本上,是可以信的過的。
怎樣選擇一款WAF!WAF設備哪個牌子的比較好?
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
ArduPilot——代碼編譯——waf (using WSL only in windows 10)
慕离巷
2020-06-27 08:35:27
modsecurity規則集說明
亨格瑞
2020-06-24 15:47:40
WAF技術以及SQL繞過
花自飘零丶水自流
2020-06-08 15:05:12
想擁有自己的WAF品牌?這款WAF支持自主OEM。
w2sft
2020-05-19 13:12:58
基於spark實時分析nginx請求日誌,自動封禁IP之一:web功能設計
sdmei
2020-05-13 01:45:14
黑科技:把手機DIY成一臺硬件WAF(WEB應用防火牆)。
w2sft
2020-05-04 13:08:47
WEB安全知識:WAF多種多樣,你的網站需要怎樣的WAF?
w2sft
2020-04-22 13:07:31
中小企業自建雲WAF有多難?只需20分鐘!而且:全程免費
w2sft
2020-02-23 13:26:20
CentOS 7.7 Nginx基於Lua模塊實現WAF應用防火牆
Marion0728
2020-02-20 13:27:48
luawaf 配置查看工具
海無崖
2019-09-20 13:17:30
F5-ASM-AdvWAF後續轉至csdn
ITdoggg
2019-08-20 14:32:07
對一套WAF防護規則(正則表達式)的整理和分析。
w2sft
2019-07-08 13:14:05
PHP常見過waf webshell以及最簡單的檢測方法
瓦都剋
2019-05-21 18:23:07