web application firewall简称WAF，翻译过来是web应用防火墙，主要用于拦截针对WEB应用的攻击。素包子谈一下自己对WAF的想法，欢迎拍砖和补充完善。

1、必要性

实际应用：增强对WEB APP安全现状的感知能力，并能在一定程度上控制web app风险，弥补代码一级安全防御在技术和实施方面的不足

体系完善：在SDL的implement阶段控制web app风险，在有资金预算的情况下，是实施SDL不错的切入点之一。拿着WAF的报告，可以让老板看到外部威胁及防御效果，以推动SDL的前进。

法规遵循：PCI对WAF有明确要求；亦可命中其他法规的要求，例如SOX的保障资金相关数据的真实可靠。

2、缺陷和潜在问题

实施一个安全措施规避风险的同时有时会引入其他问题，这是我们在实施项目前需要高度注意的。下面列举一些

引入单点故障：

不管怎么部署，只要能拦截，都是一个单点，要么双机，要么具备软硬bypass功能。

误报：

这东西和任何安全产品一样，一旦有大量的误报，而没有解决的办法，那就进入了恶性循环。解决误报是非常关键的。通过规范化内部编码习惯、白名单和灰名单的机制可以有效的抑制误报。例如一个IP出现一次攻击行为的时候把它放到灰名单里，多次出现攻击行为后才拦截和告警。当然了，厂商想了很多的方法规避误报，最后还是要通过实际应用测试才能判断是否有效。

漏报：

WAF肯定是可以被绕过的，对于基本编码的解码做到之后，剩下的就是使用者与黑客的经验较量了，当然了，如果厂商具备足够的绕过经验并将防御措施实施到产品之中传递给用户就最好了。

性能：

互联网公司不用WAF的原因之一就是性能问题。大家都懂的，不赘述了。

3、产品

软件：

有免费的modsecurity，iisscan

有古老的EEYE WEB SECURITY

有新秀zeus web application firewall

硬件：

国内：看这里 html">http://www.youxia.org/2010/03/china-waf.html

国外：看这里 http://baoz.net/web-application-firewall-list/

4、选型关键点

部署灵活，最好能桥接。

支持软硬件bypass，否则这个篓子捅了要遭殃。

支持黑白名单和灰名单模式。细化到域名和URL，源IP的黑白灰名单。

能有TOP 10报表。

陆续再完善。

大家如果有什么满足我需求的WAF，麻烦推荐一下，谢谢。

顺手拖网路游侠的图过来http://www.youxia.org/2009/04/WEB-Security-Analyst-YouXia.html