国内市面上waf大大小小有上百款,通过比较gartner魔力象限中的多款 Web应用防火墙 ,总结出以下的waf比较和选购心得。
公有云厂商waf
waf防火墙排名?当前公有云厂商在安全领域发力兴起,互联网上铺天盖地都是各种类型的 WAF 产品。公有云厂商研发这类产品,首先就会考虑到自用性,往往公有云平台就采用的自家产品来进行http防护。排名前三的公有云都有大量的http防护需求,应用到网站、app、加速业务中,其产品的可靠性不言而喻。同时,计算资源可 弹性伸缩 的特点,也让云上WAF的性能能够近乎无上限拓展。
老牌≠实力
传统大厂开发的waf产品经历长期的发展和迭代,非常成熟,但是也在互联网飞速发展中,难以转身。当前新型的网络攻击,对waf提出了挑战,仅仅对xss攻击、SQL注入、木马的防护远远不足。部分传统大厂固定的销售渠道已经形成,产品迭代放缓,短期并没有太大影响。而面对黑客当前主流的攻击方式,大量 自动化 扫描攻击,海量发现有漏洞有安全问题切入点的网站进行嗅探。云上厂商为了能够在市场上获得突破,对攻击新形势和新方式的关注度更高,能更快推出针对性 解决方案 ,以求突破。
看威胁,看预算,看功能
发现问题第一步。不要等到被攻击,资产收到损害的时候,才进行补救防护。提早布局,先花小钱买个检测版waf对流量进行检测,然后持续监控,发现攻击之后再升级购买具有防护拦截功能的专业版waf。这样的成本更低,也能够通过渐进的方式将waf规则完善,提高使用的性价比。
看钱袋子办事
对于已经有安全防护意识,公司也决定要采购的企业来说,都是先拿着预算再来选购waf,市场上的waf繁杂,但是一分钱一分货的理念是没错的。通过询价对比,找到匹配的waf清单。
看功能需求。如果是已经被攻击过的企业,对某种类型的攻击一定会要求特别高,找到清单中,这块能力做得最好的,结合参数和客户案例,去对标自己的情况,能够符合需求的,我们就选用。
