Web应用程序防火墙(WAF)就像一个力场，只允许合法请求和良好流量访问您的网站/Web应用程序，过滤并阻止不良请求和僵尸网络。几种WAF替代品充斥着市场，但并非所有WAF都是平等的，而且它们绝对不能提供相同级别的安全性。在本文中，我们为您提供了一组8个问题，您必须在做出决定之前询问WAF提供商。

您必须向WAF提供商提出的8个问题

1.WAF保护什么？

始终选择全面的Web应用程序防火墙，以保护您的Web应用程序免受所有已知漏洞的影响。它必须能够检测来自应用程序、服务器、第三方资源等的已知漏洞并修补漏洞，直到开发人员修复。

2.使用了哪些检测技术？

Web应用程序防火墙分析流量以仅允许合法用户访问应用程序，同时过滤掉不良/恶意请求以阻止攻击/威胁。为此，最好的Web应用防火墙将包括一系列检测技术，例如签名匹配、行为分析、规范化等。

此外，在选择Web应用程序防火墙时，比较误报率与负率的证明、第三方测试结果、检测/阻止的零日威胁以及潜在供应商的频率和误报管理策略。

3.它是如何保护的？

根据对以下问题的回答和您的Web应用程序的独特需求，评估Web应用程序防火墙如何保护Web应用程序。

4.它允许定制吗？

没有两个企业或Web应用程序是相同的——它们的威胁和漏洞、风险、风险偏好、安全需求等因各自独特的环境而异。因此，WAF策略/规则需要以外科手术般的准确性进行定制，以提高安全性，并持续不断地进行调整，以跟上应用程序本身的活力和新出现的威胁。

选择一个托管的WAF，它提供实时洞察和安全分析、24×7的风险状况可见性和业务影响，就像来自AppTrana的那样-它结合了自动化的力量与经过认证的安全专家的智能和创造性思维技能，他们定制-基于对您的业务及其独特需求的深刻理解，以外科手术般的准确性构建您的WAF，并根据WAF提供的安全分析、实时洞察力和可见性调整策略。

5.它是否配备了Accuratelearning以根据新的威胁向量和应用程序的风险态势，根据生产中应用程序的当前风险级别不断更新其策略？

选择配备AI、ML和全球威胁情报数据库的智能WAF，使其能够从企业自身过去的攻击历史和全球范围内的攻击中学习，不断寻找新的区域来寻找漏洞并区分机器人和人类流量通过使用其学习来允许、阻止、标记或质疑请求。

6.是否可扩展？

您的业务一定会增长，您的客户也会增加，或者您的Web应用程序将获得更大的流量，或者您的应用程序本身可能会增长，或者由于促销/活动可能会出现突然的流量高峰。无论哪种情况，WAF都必须能够保护您的应用程序，而与流量无关。因此，流量峰值的可扩展性、多租户和带宽成本是重要的考虑因素。这些将影响Web应用程序的速度、性能和可用性。

7.记录和报告如何工作？

评估安全性和流量日志审计跟踪和报告的深度、易于访问性和全面性。此外，检查报告是否可定制、是否可以按需生成并按计划生成、报告格式、可视化和演示的用户友好性以及分发方法。这些因素会影响安全事件调查的有效性和质量。

8.是否易于部署？

您最不希望的事情是在部署Web应用程序防火墙时应用程序变得不可用或崩溃。CloudWAF易于部署、灵活且无忧，在入职期间可实现零停机和崩溃。

选择Web应用防火墙时要问的另外两个问题是：

选择合适的WAF来加强Web安全并为企业节省数百万美元。