现成的帮手

　　准备好充足的时间来对WAF产品作彻底的评估吧。一旦你的选择范围缩小到了那些能满足你基本要求的产品，下一步该如何对这些不同的选择进行比较呢？
 
　　Web应用安全协会（Web Application Security Consortium，WASC ） [链接： http://www.webappsec.org/ ]就是Web应用安全标准的制定者和拥护者。他们已经开发出了Web应用防火墙评价标准（ WAFEC ） [链接： http://www.webappsec.org/projects/wafec/ ]用于产品间的对比分析。任何一位熟练技术人员都可以用他们的测试方法来独立评估一套WAF解决方案的质量。
 
　　建议你把他们的评价标准作为你的评估过程的一部分。按照WASC的建议，密切留意所使用的部署架构，对HTTP、HTML和XML的支持，所采用的检测和防护技术，日志和报告能力以及管理和性能等方面。

　　部署WAF

　　恭喜！到这一步，你已经选择，购买并安装好了WAF，也达实现了必需的法规功能。但是，这并不意味着你已经遵从法规了。正确的定位，配置，管理和监控都是必不可少的。
 
　　安装过程需要遵循四步安全生命周期：防护，监控，测试和改进。这是一个循环往复，持续不断的保护过程。在把任何新设备连接到你的网络前，都必须确保已经将当前的网络结构记录在案，然后还要加固一下那个新设备以及它的运行环境。也就是通过打补丁和改进配置的方式来增强安全性。

　　配置结果是根据你在安全策略（如允许哪些字符集）里确定的业务规则直接生成的。如果你采用这种方式配置防火墙，那么防火墙规则和过滤器都将自我界定。在网络或应用里，WAF还可能会暴露出一些技术问题，如误报或是传输瓶颈。
 
　　认真的测试是必不可少的，尤其是如果你的网站使用了特殊的header、URL或cookie， 或者是网站的具体内容不符合Web标准。如果你运行的是一个提供多语言版本的应用，那就要计划出更多的测试时间，因为它可能要处理不同的字符集。
 
　　测试应尽可能与“真实”的应用环境相吻合。这将有助于在部署之前把WAF可能导致的系统集成问题暴露出来。使用微软的Web Application Stress和Capacity Analysis Tools或AppPerfect Load Tester对WAF进行压力测试也有助于发现配置WAF带来的瓶颈。