很多准备上WAF的网站管理者会问:WAF设备哪个牌子的比较好?
真专家回复:
国内,大约有80家大大小小的安全商,知名的如:绿盟、启明、神州数码等。厂家们前后推出的WAF产品尚在市场的大约有30多款,这些WAF服务着全国500多万家网站,为网站提供安全防护。
安全厂家有大有小,WAF产品价格也有高有低,一般来说,大厂家的WAF,价格自然高,因为大公司成本高嘛,成本自然要转嫁到消费者身上,服务嘛,理论上是会好一些,但从实际情况来看,得“遇”,这点不好肯定的说大厂就一定好小厂就不定差。
举个例子来说,总部在上海的大厂,在西安可能一分公司,名为分公司,实则只是在当地有几名销售人员,本地服务的问题,我们可以自己推理一下。
而在功能上,是需要认真甄别的,除了主要的防护常见网络***是必备的以外,各家的产品也都各有功能测重,
欲语说:酒越陈越香,在安全产品上,恐怕是要反着的,或者起码这个道理不能应用在WAF类产品上,为什么这么说呢,因为IT业的发展是在是太快了,从PC时代,到互联网时代,再到人工智能时代,不过短短几十年,互联网急速的发展,使许多业务的基本面也在快速发生着变化。具体到安全方面的WAF产品,由于安全环境的变化,产品也得跟着环境变化而更迭,这就造成了一个问题,大厂由于体谅大、转身难,就造成了产品一旦定型,很不容易在功能上有创新,甚至是跟不上时代的发展需求。直白的说:大厂WAF,往往功能老旧,只具备基本的防护能力,比如SQL注入、XSS这些。而对于新兴的自动化***,防护力能较弱。
而中小安全厂商的产品,功能多有创新,比如最近的新兴产品:ShareWAF(http://www.sharewaf.com/),特别侧重自动化***防护,要知道,据数据显示:2018年网络***中,有80%以上属于自动化***。可以说,这是最贴近实际需求的防护功能。
另外,除了商用WAF,还有一类,有免费开源的WAF,但多是个人小众产品,据本人调查,国内外开源的几个WAF,均已多年不曾更新。其实这也并不意外,因为WAF是ToB类产品,免费虽然好听,但实际上,如果产品不能产生收益,谁又能长时间保护产品功能更新,试问:图什么,靠什么?这也就是开源WAF不能商用的原因。
再补充一条,国外有个老牌的WAF,名为ModSecurity(http://www.modsecurity.org/),也是开源免费的口号,且是有厂家在背后支持的,但事实上却并不是正真的免费:产品免费用,但它也是传统的老WAF,需要靠规则进行防护的,而它的规则库...是收费的。怎么样,是不是有种被套路的感觉:)
综合而言,现在选购WAF,还是有点难度的。
本人建议这么选择:
1、先确定预算,比如预算5万,那么,先询价,通过价格,先排除一部分产品。
注:5万只是个例子,中小企业预算不会太多,如果是政府、银行这些不差钱,有预算的单位,比如200万的预算,而且主要是合规性需求,那可以直接找大厂,价格将会是匹配的,如果用了大厂产品而在防护效果上有担忧,可以再叠加一套创新的WAF。
2、再了解功能。先通过产品介绍做初步了解,满足自己需求的,接下来进行试用。
照以上两条进行即可。
说起来容易,做起来却不是那么容易,需要花不少时间的,WAF产品的功能通常比较多,想了解一个产品,除了开始的从简介、白皮书、功能书中了解,还得进一步的测试,实际防护效果,甚至对比几家不同家产品的功能。操作起来,时间就花进去了,据本人经验,选择一款合适的WAF,前前后后至少得一个月时间。当然,这是很认真操作下的情况。
如果只是想照预算选购一款WAF,也有简单的办法:询价,对比,选定一家性价比高的部署即可。这么操作,少则一周,多则两周连部署也搞定了,WAF就用上了。有朋友疑惑:不看功能了吗?看,简单的看,看官网是否正规,看PPT是否公整。可以了。因为可以这么想:能在互联网生存的WAF类产品,基本上,是可以信的过的。
怎样选择一款WAF!WAF设备哪个牌子的比较好?
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
ArduPilot——代码编译——waf (using WSL only in windows 10)
慕离巷
2020-06-27 08:35:27
modsecurity规则集说明
亨格瑞
2020-06-24 15:47:40
WAF技术以及SQL绕过
花自飘零丶水自流
2020-06-08 15:05:12
想拥有自己的WAF品牌?这款WAF支持自主OEM。
w2sft
2020-05-19 13:12:58
基于spark实时分析nginx请求日志,自动封禁IP之一:web功能设计
sdmei
2020-05-13 01:45:14
黑科技:把手机DIY成一台硬件WAF(WEB应用防火墙)。
w2sft
2020-05-04 13:08:47
WEB安全知识:WAF多种多样,你的网站需要怎样的WAF?
w2sft
2020-04-22 13:07:31
中小企业自建云WAF有多难?只需20分钟!而且:全程免费
w2sft
2020-02-23 13:26:20
CentOS 7.7 Nginx基于Lua模块实现WAF应用防火墙
Marion0728
2020-02-20 13:27:48
luawaf 配置查看工具
海無崖
2019-09-20 13:17:30
F5-ASM-AdvWAF后续转至csdn
ITdoggg
2019-08-20 14:32:07
对一套WAF防护规则(正则表达式)的整理和分析。
w2sft
2019-07-08 13:14:05
PHP常见过waf webshell以及最简单的检测方法
瓦都剋
2019-05-21 18:23:07