等保时代来了，给得网站上WAF，中小企业用哪种WAF最合适？

等保时代真的来了，确确时时的给网站做防护、上WAF了。

最近有朋友跟我说：

他们公司网站被网安查了，网安直接上门警告了，要求做等保、给网站上WAF。

问我哪款WAF比较好，小企业预算不多，有没有不太贵的WAF？

 

相信这是很多中小企业都很关心的问题，等保2.0执行后，各地网安应该会逐渐排查辖区内的网站情况，落实网站防护问题。

那么，上WAF就是必须的了。准备上WAF的网站管理者会问：WAF设备哪个牌子的比较好？

能上云WAF吗？

有的能，有的不能，如果只是展示性网站，没什么数据流经，没有太多的用户信息是可以的。

否则用户信息，包括帐号密码，如果都流经云WAF，着实令人不放心。

所以，云WAF是一部分人的可选项。

而且，云WAF也不便宜：

硬件WAF怎么样？

硬件WAF是给大企业、大平台使用的。

使用硬件WAF的基础，是你得有自己的机房，起码也得有独立服务器。否则，买上硬件往哪接呢？

硬件WAF的价格一般都很贵。比如：

对于中小企业来说，最适应的应该是软件WAF。

那么，该如何选一款软件WAF呢？

软件WAF

国内，大约有三十四家大大小小的WAF厂商，知名的如：绿盟、启明、神州数码等。厂家们前后推出的WAF产品尚在市场的大约有数十款。其中提供软件WAF约有十来家，准确的说是13家，如：奇安信，天融信，沃奇德格，等。

安全厂家有大有小，WAF产品价格也有高有低，一般来说，大厂家的WAF，价格自然高，因为大公司成本高嘛，成本自然要转嫁到消费者身上，服务嘛，理论上是会好一些，但从实际情况来看，得“遇”，这点不好肯定的说大厂就一定好小厂就不定差。其实这也是买WAF另一层需考虑的：服务，部署、维护、售后，得有人管。
而在功能上，是需要认真甄别的，除了主要的防护常见网络攻击是必备的以外，各家的产品也都各有功能侧重。

俗语说：酒越陈越香，在安全产品上，恐怕是要反着的，或者起码这个道理不能应用在WAF类产品上，为什么这么说呢，因为IT业的发展是在是太快了，从PC时代，到互联网时代，再到人工智能时代，不过短短几十年，互联网急速的发展，使许多业务的基本面也在快速发生着变化。

具体到安全方面的WAF产品，由于安全环境的变化，产品也得跟着环境变化而更迭，这就造成了一个问题，大厂由于体量大、转身难，就造成了产品一旦定型，很不容易在功能上有创新，甚至是跟不上时代的发展需求。直白的说：大厂WAF，往往功能老旧，只具备基本的防护能力，比如SQL注入、XSS这些。而对于新兴的自动化攻击，防护力能较弱。
而中小安全厂商的产品，功能多有创新，比如最近的新兴产品：ShareWAF，特别侧重自动化攻击防护，要知道，据数据显示：2018年网络攻击中，有80%以上属于自动化攻击。可以说，这是最贴近实际需求的防护功能。这里推荐一下这款，这款不贵，效果不错。中小企业满适合。

另外，除了商用WAF，还有一类，有免费开源的WAF，但多是个人小众产品，据本人调查，国内外开源的几个WAF，均已多年不曾更新。其实这也并不意外，因为WAF是ToB类产品，免费虽然好听，但实际上，如果产品不能产生收益，谁又能长时间保护产品功能更新，试问：图什么，靠什么？这也就是开源WAF不能商用的原因。
再补充一条，国外有个老牌的WAF，名为ModSecurity，基于nginx的插件WAF，如果你web用的是nginx，也可以了解下这款。不过，也是开源免费的口号，且是有厂家在背后支持的，但事实上却并不是正真的免费：产品免费用，但它也是传统的老WAF，需要靠规则进行防护的，而它的规则库...是收费的。怎么样，是不是有种被套路的感觉：）
综合而言，现在选购WAF，还是有点难度的。

除了上面说的，

本人建议中小企业这么选择WAF：

1、先确定预算，比如预算5万，那么，先询价，通过价格，先排除一部分产品。
注：5万只是个例子，中小企业预算不会太多，如果是政府、银行这些不差钱，有预算的单位，比如200万的预算，而且主要是合规性需求，那可以直接找大厂，价格将会是匹配的，如果用了大厂产品而在防护效果上有担忧，可以再叠加一套创新的WAF。

2、再了解功能。先通过产品介绍做初步了解，满足自己需求的，接下来进行试用。
照以上两条进行即可。
说起来容易，做起来却不是那么容易，需要花不少时间的，WAF产品的功能通常比较多，想了解一个产品，除了开始的从简介、白皮书、功能书中了解，还得进一步的测试，实际防护效果，甚至对比几家不同家产品的功能。操作起来，时间就花进去了，据本人经验，选择一款合适的WAF，前前后后至少得一个月时间。当然，这是很认真操作下的情况。

如果只是想照预算选购一款WAF，也有简单的办法：询价，对比，选定一家性价比高的部署即可。这么操作，少则一周，多则两周连部署也搞定了，WAF就用上了。有朋友疑惑：不看功能了吗？看，简单的看，看官网是否正规，看PPT是否公整。可以了。因为可以这么想：能在互联网生存的WAF类产品，基本上，是可以信的过的。