问：Web应用防火墙部署是否更适合拥有成熟软件安全计划的企业，或者是否任何拥有任何类型安全技术的企业可以从部署web应用防火墙受益？

　　答：我偶然接触到采取了纵深防御方法防范安全过头了的企业。这种企业将能想到的每一个安全设备都安插在了网络中的某些地方。虽然很高兴地看到安全受到重视，但是这种类型的设置永远不会有成本效益和好的效率。基于上述说法，很高兴听到你问何时部署web应用防火墙才是适当的。虽然许多供应商主张用他们的最新产品，但最新的产品并不是安全的保障。

　　如果我们看看支付卡行业数据安全标准 (PCI DSS)的一些指导，我们可以看到它提供了两种选择，以保护web应用程序：查看所有web应用程序代码，或者部署一个web应用防火墙。它还提到“两个选择结合起来适当实施可以提供最好的多层防护。”

　　找两个企业作为例子，第一，一个有成熟软件安全计划的公司，毫无疑问这类公司已经可以执行源代码审查和脆弱性评估，但可能仍然会从安装web 应用防火墙受益。第二个企业绝对应该考虑安装一个web应用防火墙，因为它不太可能有既具备广泛的应用开发经验又能根据要求进行内部代码安全检查的专业知识人员。

　　一个好的安全策略将确定您想如何保护数据安全的目标和需求。由于每个Web应用程序是独特的，必须根据特定的应用来减轻风险，针对在威胁的建模过程中发现的潜在威胁展开保护。为了保证从Web应用防火墙部署中真正受益，一定要检查哪些风险需要防范。这样一来你可以决定哪些安全设备是合适的，可以满足这些需求。

　　当你的选择范围缩小到一个挑选名单时，你很难比较不同的WAFs。值得庆幸的是Web应用程序安全联盟（WASC）开发和倡导了网络应用的安全标准。他们创建了Web应用防火墙评价标准（WAFEC），其目的是为人们比较不同的防火墙提供一个方法。任何理性熟练的技术人员都可以运用它们的测试方法，独立地评估WAF产品的质量。

　　然而，WAFs并不能包治百病。他们无法防止应用程序逻辑缺陷或潜在的网络和操作系统级的漏洞。并且还需要持续投资。网络管理员必须学会如何安装、配置和维护WAF。您还需要确保您的IT部门有足够资源来处理它识别的任何攻击，以及其他日常的管理。例如， WAFS比旧的包过滤防火墙有更大量的记录功能。管理员将需要时间来充分利用这一额外的信息。