市场上的web应用防火墙产品不少,WAF产品到底具有哪些功能才能知足国内客户对Web服务器防御的需求?客户会陷入功能、性能、易用性的选择性困惑中。不管是国内仍是国外的WAF产品,除了HTTP协议最基本的性能要求以外,还要考虑合适的架构和尺寸。先要评估一下目前网络上的Web应用是如何构建的:该应用是否是已经在反向代理系统的后面?若是是这样,企业又想继续使用反向代理架构,能够考虑支持这种须要的WAF。若是企业版的要求WAF终结SSL链接,以检查数据包内容,那么反向代理系统是个理想的选择。web
另外,还要看一下WAF的功能诉求。有下面几点:一、企业版的WAF产品必需要具有针对跨站请求伪造(CSRF)攻击的防御功能。二、应该具有对Web攻击的防御功能,这类攻击主要包含了SQL注入攻击和XSS跨站攻击。三、WAF产品应该具有Web恶意代码的防御功能。四、具有Web应用合规功能。应用合规是指客户端或者Web服务器所作的各种行为符合用户设置的规定要求。服务器