很多准备上WAF的网站管理者会问:WAF设备哪个牌子的比较好?

真专家回复:
国内,大约有80家大大小小的安全商,知名的如:绿盟、启明、神州数码等。厂家们前后推出的WAF产品尚在市场的大约有30多款,这些WAF服务着全国500多万家网站,为网站提供安全防护。

安全厂家有大有小,WAF产品价格也有高有低,一般来说,大厂家的WAF,价格自然高,因为大公司成本高嘛,成本自然要转嫁到消费者身上,服务嘛,理论上是会好一些,但从实际情况来看,得“遇”,这点不好肯定的说大厂就一定好小厂就不定差。
举个例子来说,总部在上海的大厂,在西安可能一分公司,名为分公司,实则只是在当地有几名销售人员,本地服务的问题,我们可以自己推理一下。

而在功能上,是需要认真甄别的,除了主要的防护常见网络攻击是必备的以外,各家的产品也都各有功能测重,
欲语说:酒越陈越香,在安全产品上,恐怕是要反着的,或者起码这个道理不能应用在WAF类产品上,为什么这么说呢,因为IT业的发展是在是太快了,从PC时代,到互联网时代,再到人工智能时代,不过短短几十年,互联网急速的发展,使许多业务的基本面也在快速发生着变化。具体到安全方面的WAF产品,由于安全环境的变化,产品也得跟着环境变化而更迭,这就造成了一个问题,大厂由于体谅大、转身难,就造成了产品一旦定型,很不容易在功能上有创新,甚至是跟不上时代的发展需求。直白的说:大厂WAF,往往功能老旧,只具备基本的防护能力,比如SQL注入、XSS这些。而对于新兴的自动化攻击,防护力能较弱。

而中小安全厂商的产品,功能多有创新,比如最近的新兴产品:ShareWAF,特别侧重自动化攻击防护,要知道,据数据显示:2018年网络攻击中,有80%以上属于自动化攻击。可以说,这是最贴近实际需求的防护功能。

另外,除了商用WAF,还有一类,有免费开源的WAF,但多是个人小众产品,据本人调查,国内外开源的几个WAF,均已多年不曾更新。其实这也并不意外,因为WAF是ToB类产品,免费虽然好听,但实际上,如果产品不能产生收益,谁又能长时间保护产品功能更新,试问:图什么,靠什么?这也就是开源WAF不能商用的原因。

再补充一条,国外有个老牌的WAF,名为ModSecurity,也是开源免费的口号,且是有厂家在背后支持的,但事实上却并不是正真的免费:产品免费用,但它也是传统的老WAF,需要靠规则进行防护的,而它的规则库...是收费的。怎么样,是不是有种被套路的感觉:)

综合而言,现在选购WAF,还是有点难度的。
本人建议这么选择:
1、先确定预算,比如预算5万,那么,先询价,通过价格,先排除一部分产品。
注:5万只是个例子,中小企业预算不会太多,如果是政府、银行这些不差钱,有预算的单位,比如200万的预算,而且主要是合规性需求,那可以直接找大厂,价格将会是匹配的,如果用了大厂产品而在防护效果上有担忧,可以再叠加一套创新的WAF。
2、再了解功能。先通过产品介绍做初步了解,满足自己需求的,接下来进行试用。
照以上两条进行即可。
说起来容易,做起来却不是那么容易,需要花不少时间的,WAF产品的功能通常比较多,想了解一个产品,除了开始的从简介、白皮书、功能书中了解,还得进一步的测试,实际防护效果,甚至对比几家不同家产品的功能。操作起来,时间就花进去了,据本人经验,选择一款合适的WAF,前前后后至少得一个月时间。当然,这是很认真操作下的情况。
如果只是想照预算选购一款WAF,也有简单的办法:询价,对比,选定一家性价比高的部署即可。这么操作,少则一周,多则两周连部署也搞定了,WAF就用上了。有朋友疑惑:不看功能了吗?看,简单的看,看官网是否正规,看PPT是否公整。可以了。因为可以这么想:能在互联网生存的WAF类产品,基本上,是可以信的过的。