當企業在Web應用防火墻產品選型時選擇了一個或者多個需要評估的產品后，應該如何進行評估呢？本文我們將和大家一起探討企業應如何評估Web應用防火墻解決方案。

[[65537]]

評估標準1：可管理性

你需要執行的第一個對比測試是可管理性。如果Web應用防火墻難以管理，并不提供你需要的政策靈活性，稍后你將為此付出代價。雖然當你在談論定制應用時，即插即用設備的要求可能有點太過分，但初始部署不應太具挑戰性。你會想知道能否通過努力讓Web應用防火墻來保護那些不需要不斷監管和微調的應用程序。

可讀警報和報告是Web應用防火墻應該具備的必要功能，這些功能能夠為你提供關于Web應用防火墻的精準信息，并在出現問題時，提供概述性的威脅描述。評估的互補方面是Web應用防火墻的可用性，這包括提供清晰威脅信息的GUI，能夠向下挖取和審查警報的詳細信息。理想情況下，你還能夠生成與配置和定制化報告，并能輕松地調整安全策略。

當你在處理分布在世界各地的Web應用基礎設施時，中央管理也很有幫助。你想要管理不同的WAF設備，而不需要分別連接到每個設備，這同樣也使企業能夠橫跨整個企業范圍建立、維護和執行統一的安全政策。

評估標準2：性能

當涉及Web應用防火墻時，性能是一個關鍵因素。Web應用防火墻的部署應該不能影響現有基礎設施的性能，包括應用程序和網絡設備等。這意味著即使Web應用防火墻作為應用程序的安全代理，該應用程序應該繼續能夠傳輸數據，而不會遇到請求積壓或者重負載的情況，該應用程序應該像沒有Web應用防火墻一樣運行。

從最終用戶的角度來看，Web應用防火墻應該是完全透明的。用戶不應該遇到任何明顯的延遲或者服務阻礙。

為了避免性能降級，你要確保Web應用防火墻的性能符合或者超過應用程序基礎設施的其他因素。

評估標準3：最小誤報

誤報是一個很重要的方面。你不會希望看到Web應用防火墻對于每個傳入的請求都發出警報。這就像“狼來了”一樣的道理，當惡意請求真正來到時，你可能會因為誤報大幅增加而忽視這個惡意請求。如果你是在阻止模式，這個問題將更加嚴重。你想做的最后一件事情將是阻止合法流量，這最終將破壞部署在線應用程序的意義。請確保你正在評估的Web應用防火墻具有最小的誤報率，只有為數不多的幾個。

評估標準4：處理實時攻擊流量

測試Web應用防火墻的最佳途徑是使用實施流量。通過評估Web應用防火墻的產品設置，你能夠得到兩個好處：

-測試是否存在性能降級(這與前面的評估標準相呼應)

-測試Web應用防火墻是否能夠阻止攻擊.當你想要確保Web應用防火墻正在保護受保護應用程序中的所有元素以及測試動態組件(例如Javascript和XML)時，這一點尤其必要。在Web應用防火墻學習應用程序的情況下，這更加重要，因為這種產品設置能夠知名Web應用防火墻是否在正確地學習應用程序流量。進一步深入這個評估標準，你還應該對應用程序進行修改，然后看看Web應用防火墻是否檢測到了這種修改。

建議執行互補設置：在應用程序開發過程中使用Web應用防火墻。這種部署能夠幫助收集攻擊者情報，你在建設軟件時你能夠添加到你的測試用例中。

評估標準5：納入現有的基礎設施

Web應用防火墻應該不會對現有基礎設施帶來任何改變，這是一個重要的方面，當你在考慮Web應用對于改變極其敏感時。對網絡的任何改變，Web服務器操作系統、應用軟件或者后端數據庫都會對可用性、性能和安全帶來影響。你不會希望破壞現有的基礎設施，只為適應Web應用防火墻。

作為評估過程的一部分，你需要確保Web應用防火墻的安裝幾乎對數據中心基礎設施沒有任何影響，雖然Web應用防火墻已經部署到位，它應該對于網絡、應用程序和數據庫幾乎是透明的。

評估標準6：與現有企業系統整合

Web應用防火墻并不是技術孤島。任何引入網絡的設備都應該與現有系統整合。你應該檢查的重要的整合點包括安全信息事件管理(SIEM)系統、日志保留系統、身份管理、事件管理、應用程序掃描器和代碼分析工具。Web應用防火墻和其他元素之間的適當交互提供了分層和自動的安全性。

如果你遵循以上步驟，你將以自己的方式實現一個成功的Web應用防火墻部署。