市场上的web应用防火墙产品很多,WAF产品到底具备哪些功能才能满足国内客户对Web服务器防护的需求?客户会陷入功能、性能、易用性的选择性困惑中。无论是国内还是国外的WAF产品,除了HTTP协议最基本的性能要求之外,还要考虑合适的架构和尺寸。先要评估一下目前网络上的Web应用是如何构建的:该应用是不是已经在反向代理系统的后面?如果是这样,企业又想继续使用反向代理架构,可以考虑支持这种需要的WAF。如果企业版的要求WAF终结SSL连接,以检查数据包内容,那么反向代理系统是个理想的选择。
另外,还要看一下WAF的功能诉求。有下面几点:1、企业版的WAF产品必须要具备针对跨站请求伪造(CSRF)攻击的防护功能。2、应该具备对Web攻击的防护功能,这类攻击主要包含了SQL注入攻击和XSS跨站攻击。3、WAF产品应该具备Web恶意代码的防护功能。4、具备Web应用合规功能。应用合规是指客户端或者Web服务器所做的各类行为符合用户设置的规定要求。