怎樣選擇一款WAF！WAF設備哪個牌子的比較好？

很多準備上WAF的網站管理者會問：WAF設備哪個牌子的比較好？

真專家回覆：
國內，大約有80家大大小小的安全商，知名的如：綠盟、啓明、神州數碼等。廠家們前後推出的WAF產品尚在市場的大約有30多款，這些WAF服務着全國500多萬家網站，爲網站提供安全防護。

安全廠家有大有小，WAF產品價格也有高有低，一般來說，大廠家的WAF，價格自然高，因爲大公司成本高嘛，成本自然要轉嫁到消費者身上，服務嘛，理論上是會好一些，但從實際情況來看，得“遇”，這點不好肯定的說大廠就一定好小廠就不定差。
舉個例子來說，總部在上海的大廠，在西安可能一分公司，名爲分公司，實則只是在當地有幾名銷售人員，本地服務的問題，我們可以自己推理一下。

而在功能上，是需要認真甄別的，除了主要的防護常見網絡***是必備的以外，各家的產品也都各有功能測重，
欲語說：酒越陳越香，在安全產品上，恐怕是要反着的，或者起碼這個道理不能應用在WAF類產品上，爲什麼這麼說呢，因爲IT業的發展是在是太快了，從PC時代，到互聯網時代，再到人工智能時代，不過短短幾十年，互聯網急速的發展，使許多業務的基本面也在快速發生着變化。具體到安全方面的WAF產品，由於安全環境的變化，產品也得跟着環境變化而更迭，這就造成了一個問題，大廠由於體諒大、轉身難，就造成了產品一旦定型，很不容易在功能上有創新，甚至是跟不上時代的發展需求。直白的說：大廠WAF，往往功能老舊，只具備基本的防護能力，比如SQL注入、XSS這些。而對於新興的自動化***，防護力能較弱。

而中小安全廠商的產品，功能多有創新，比如最近的新興產品：ShareWAF（http://www.sharewaf.com/），特別側重自動化***防護，要知道，據數據顯示：2018年網絡***中，有80%以上屬於自動化***。可以說，這是最貼近實際需求的防護功能。

另外，除了商用WAF，還有一類，有免費開源的WAF，但多是個人小衆產品，據本人調查，國內外開源的幾個WAF，均已多年不曾更新。其實這也並不意外，因爲WAF是ToB類產品，免費雖然好聽，但實際上，如果產品不能產生收益，誰又能長時間保護產品功能更新，試問：圖什麼，靠什麼？這也就是開源WAF不能商用的原因。

再補充一條，國外有個老牌的WAF，名爲ModSecurity（http://www.modsecurity.org/），也是開源免費的口號，且是有廠家在背後支持的，但事實上卻並不是正真的免費：產品免費用，但它也是傳統的老WAF，需要靠規則進行防護的，而它的規則庫...是收費的。怎麼樣，是不是有種被套路的感覺：）

綜合而言，現在選購WAF，還是有點難度的。
本人建議這麼選擇：
1、先確定預算，比如預算5萬，那麼，先詢價，通過價格，先排除一部分產品。
注：5萬隻是個例子，中小企業預算不會太多，如果是政府、銀行這些不差錢，有預算的單位，比如200萬的預算，而且主要是合規性需求，那可以直接找大廠，價格將會是匹配的，如果用了大廠產品而在防護效果上有擔憂，可以再疊加一套創新的WAF。
2、再瞭解功能。先通過產品介紹做初步瞭解，滿足自己需求的，接下來進行試用。
照以上兩條進行即可。
說起來容易，做起來卻不是那麼容易，需要花不少時間的，WAF產品的功能通常比較多，想了解一個產品，除了開始的從簡介、白皮書、功能書中瞭解，還得進一步的測試，實際防護效果，甚至對比幾家不同家產品的功能。操作起來，時間就花進去了，據本人經驗，選擇一款合適的WAF，前前後後至少得一個月時間。當然，這是很認真操作下的情況。
如果只是想照預算選購一款WAF，也有簡單的辦法：詢價，對比，選定一家性價比高的部署即可。這麼操作，少則一週，多則兩週連部署也搞定了，WAF就用上了。有朋友疑惑：不看功能了嗎？看，簡單的看，看官網是否正規，看PPT是否公整。可以了。因爲可以這麼想：能在互聯網生存的WAF類產品，基本上，是可以信的過的。