2021 年審查的 10 個最佳 Web 應用程序防火牆（WAF 供應商）

Web 應用程序防火牆（或WAF）是一種相對較新的防火牆。它們不只是根據 IP 地址和端口阻止或允許流量，還進一步分析流量並根據一組預定義的業務規則做出決策。

顧名思義，它們的主要目的是保護基於 Web 的應用程序。選擇 Web 應用程序防火牆可能是一項艱鉅的任務。它們要么作為基於雲的服務存在，要么作為設備存在，每種都有其優點和缺點。這就是我們編制這份 10 個最佳 Web 應用程序防火牆列表的原因。它將幫助您評估來自不同供應商的產品功能。

在本文中，我們將首先討論 Web 應用程序防火牆、它們是什麼以及它們的用途是什麼。然後，我們將比較基於雲的系統和基於設備的系統，並列出各自的優缺點。正如您將看到的，這不僅僅是一個哲學選擇。在我們解釋完 WAF 的基礎知識之後，我們將深入研究我們主題的核心，並提供兩個列表而不是一個列表。首先，我們將回顧最好的五個基於雲的 WAF，接下來我們將看看最好的五個 WAF 設備。

WAF 簡述

正如我們在介紹中所述，Web 應用程序防火牆是一種特殊的設備。與標準防火牆相比，它可用於保護基於 Web 的應用程序的安全性要好得多。典型的 WAF 將保護網站免受多種類型的攻擊，例如跨站點腳本、cookie 中毒、網頁抓取、參數篡改、緩衝區溢出和更多類型的漏洞。

與傳統防火牆根據簡單參數（例如 IP 地址或端口號）決定允許或阻止流量不同，WAF 的決定主要基於對 HTML 數據的深入分析。他們檢查試圖識別惡意行為模式的請求。他們還將解密 HTTPS 流量，以確保沒有惡意代碼插入加密數據包中。Web 應用程序防火牆將尋找已知的惡意軟件簽名，但它們也會攔截任何格式錯誤或非標準的請求，以提供最佳保護。

就其本身而言，Web 應用程序防火牆將提供良好的保護程度，但當您將其與其他保護系統（例如標準防火牆或病毒防護軟件）捆綁在一起時，您將獲得針對最多威脅的最佳覆蓋範圍。網絡管理員比以往任何時候都更需要採用整體方法來預防惡意軟件。

基於雲還是設備？

基本上有兩種類型的 Web 應用程序防火牆。WAF 可以基於雲或作為設備運行。基於雲的 WAF 由供應商託管。對您網站的所有請求都通過 DNS 的魔力重定向到您的 WAF 實例，在那裡進行驗證，然後再轉發到您的實際站點。

設備 WAF 是硬件設備。它們是專用計算機，通常沒有用戶界面，例如運行自定義操作系統和 Web 應用程序防火牆軟件的屏幕和鍵盤。它們通常安裝在您的數據中心內，位於您的傳統防火牆和您的 Web 服務器之間，在那裡它們會攔截發往它們的請求。

基於雲的 WAF 的優缺點

從好的方面來說，基於雲的解決方案不需要維護，因為它由供應商處理。這些解決方案通常具有內置冗餘或高可用性功能。供應商通常還處理系統備份。另一個優點是 WAF 服務通常可以與來自同一供應商的其他服務配對。例如，您可以將單個提供商的內容分發和 WAF 功能結合起來，以獲得無縫集成的解決方案。

但是基於雲的 WAF 也有一些缺點。最重要的一點是，他們可以將您鎖定在一個提供多種服務的提供商處。由於您網站的所有流量都必須重定向到雲提供商，因此您幾乎別無選擇，只能使用他們的其他安全服務，例如傳統防火牆。

WAF 設備的優缺點

WAF 設備的主要優點是您可以將所有內容保留在內部。它使您可以完全控制基礎架構的每個細節。這也意味著您可以自由選擇來自不同供應商的不同組件。

不利的一面是，使用設備意味著您必須對其進行維護。隨著流量的增加，您必須升級它。使用硬件解決方案也意味著更高的前期成本，因為必須從一開始就購買所有設備。最終，選擇取決於您，但您可能應該讓您的特定需求指導您，而不是先選擇一種安裝類型。

我們的前 5 名最佳基於雲的 WAF

我們已經編制了五個最好的基於 Web 應用程序防火牆的列表。它們均來自信譽良好的供應商，物超所值。我們不能真正推薦其中一種，因為它們都是出色的產品。

1. Cloudflare WAF

Cloudflare在保護 Web 服務器免受 DDoS 攻擊方面享有盛譽。其服務產品還具有 Web 應用程序防火牆。該服務已經擁有龐大的客戶群，其服務器目前每秒處理近 300 萬個請求。如果您訪問Cloudflare 的網站，您會看到在最後一天觸發了超過 4 億條 WAF 規則。

使用具有如此廣泛客戶群的雲服務的主要好處之一是您可以從從其他客戶那裡獲得的情報中受益。例如，如果在另一個客戶端檢測到攻擊嘗試，則會創建一個新簽名並將其應用於所有客戶端。Cloudflare 解決方案的另一個好處是它們還提供內容交付和 DDoS 保護。

2. Akamai Kona Site Defender

Akamai 是內容交付系統的全球領導者。多年來，該公司為其產品添加了更多功能。Kona Site Defender，正如他們的 WAF 所稱，就是其中之一。Web 應用程序防火牆集成了全面的 DDoS 保護。當然，WAF 服務也可以輕鬆與其他 Akamai 服務（例如內容交付網絡）結合使用。一旦您的流量被重定向到 Akamai，您不妨利用它並根據需要使用盡可能多的服務。

由於其規模和客戶群，Akamai 通常比其他供應商更早地發現新漏洞。作為 Kona Site Defender 用戶，您可以從這種競爭優勢中受益，並通過可能更好地阻止零日攻擊來有效地獲得更強大的保護。

3. F5銀線

F5 通常以其 BIG-IP 設備而聞名，而不是其云服務。簡而言之，F5 Silverline是該公司出色的 BIG-IP ASM 設備的在線版本，如下所述。它可作為託管服務或 F5 所稱的快速自助服務提供，以保護 Web 應用程序和數據免受不斷變化的威脅。訂閱可以有一年或三年的持續時間。該服務包括 24 小時在線支持。

這種基於雲的服務的一個主要優勢是它可以保護分佈式或云託管的基礎設施。保護包括第 7 層 DDoS 屏蔽，還將阻止匿名地址，例如屬於 Tor 網絡的那些地址。該系統還使用已知網絡釣魚從業者和網絡爬蟲的實時黑名單。由於該黑名單由所有客戶共享，您可以從其他客戶獲得的任何情報中受益。

4. 亞馬遜網絡服務 WAF

亞馬遜網絡服務（或稱 AWS）是眾所周知的在線市場的基於雲的託管服務。它利用亞馬遜龐大的分佈式基礎設施來提供託管服務。如果您是 Amazon Web Services 的客戶，AWS WAF可能適合您。Amazon Web Service 還提供負載平衡和內容交付服務。

Amazon Web Services WAF 的定價模型與其他供應商不同。您無需每月支付預定義的金額，而是為您添加到服務中的每條安全規則以及每月收到的 Web 請求數開具發票。最好的一點是，您不必立即為未來的增長付出代價。對於具有季節性高峰的組織來說，這也非常有趣。

5. Imperva 膠囊

Imperva 是 IT 安全領域的另一個通用名稱。該 Incapsula基於雲的Web應用防火牆Imperva的從應用層的攻擊，包括所有開放Web應用安全項目排名前10位的攻擊和零日威脅保護管理服務。該服務已通過 PCI 認證且高度可定制。它也非常有效，可以以最少的誤報阻止大多數威脅。

Incapsula 是您能找到的最便宜的基於雲的 WAF 解決方案之一。計劃起價低至每月 300 美元。Incapsula 的一大特色是，除了更“傳統”的 WAF 之外，該系統還會調查您的服務器，並將發送補丁來解決發現的問題，從而為您的 Web 應用程序提供更好的保護。當然，您可以安排在您選擇的任何時間應用補丁，以減少對運營的影響。

我們的 5 大最佳 WAF 設備

就像我們基於雲的 5 大 WAF 解決方案都來自知名供應商一樣，我們的 WAF 設備也是如此。他們來自一些最負盛名的安全設備供應商。就像我們之前的列表一樣，這個列表只有最好的。請注意，大多數 WAF 設備供應商還提供基於雲的服務。

1. Imperva SecureSphere

Imperva 是進入我們兩個列表的兩家供應商之一。其SecureSphere WAF 針對較小的安裝。他們建議的各種單元的吞吐量從 100 Mbps 到 10 Gbps 不等，最小的每秒能夠處理 440 個 SSL 事務，而更大的大約 9000 個。中層單元 X2020 的吞吐量為 500 Mbps，將處理 2000 個 SSL每秒交易，將花費您大約 4200 美元。

如果您選擇其中一個頂級型號，您會很高興得知它們可以升級到下一個更大的型號。例如，X821 可以升級到 X 10K，有效地將其容量增加一倍。升級只需要購買適當的軟件補丁和許可證。無需昂貴的硬件升級。

2.梭子魚Web應用防火牆

梭子魚是 IT 安全領域另一個備受推崇的名字。它提出了一個非常適合中小型組織的優秀 WAF 解決方案。Barracuda 設備比其競爭對手的設備貴一些，但提供一年的免費更新。關於更新，只要發現新的威脅，就會經常進行更新。

在梭子魚WAF設備還具有一些額外的功能。例如，它提供緩存以加快內容交付。多台服務器之間的負載平衡是另一個可用的功能。您甚至可以添加完整的 DDoS 保護。與大多數其他 WAF 設備一樣，梭子魚 WAAF 有多種尺寸可供選擇。像 Model 360 這樣的普通設備將花費您大約 6350 美元，並為您提供 25 Mbps 的吞吐量和每秒 2000 次 SSL 事務。

3.Citrix Netscaler 應用防火牆

在Citrix NetScaler的是一個非常流行的負載均衡設備。如果您已經在使用它們，您會很高興知道您還可以將其中的一些用作 Web 應用程序防火牆。該功能僅在頂級 NetSclaer MPX 設備或 NetScaler 雲服務中可用。此外，您需要購買頂級白金許可證才能免費獲得它，儘管它也可以作為企業許可證的一個選項提供。

NetScaler WAF 的最大優勢在於您可以在一台機器中獲得最先進的負載平衡和安全性。這是一個高級系統，它的價格很高。您可以預期為最小型號的 MPX 5550 支付大約 4000 美元，其吞吐量為 500 Mbps，每秒最多可處理 1500 個 SSL 事務。

4. Fortinet FortiWeb

Fortinet 的 FortiWeb 設備更適合中小型組織。該設備集成了 WAF、負載平衡和 SSL 卸載功能。FortiWeb 設備的最佳和最新功能之一是基於人工智能的兩步機器學習，可提高攻擊檢測的準確性。它幾乎創建了一個“一勞永逸”的 Web 應用程序防火牆

FortiWeb 設備將保護您的基礎設施免受最新的應用程序漏洞、機器人和可疑 URL 的影響。其雙機器學習檢測引擎可保護您的應用程序免受各種威脅，如 SQL 注入、跨站點腳本、緩衝區溢出、cookie 中毒、惡意來源和 DDoS 攻擊。有八種不同的 FortiWeb 模型可供選擇，每種模型的容量都在增加。它們的範圍從 25 Mbps 的入門級 100D 到具有 20Gbps 吞吐量的頂級型號 4000E。

5. F5 BIG-IP 應用安全管理器 (ASM)

最後但並非最不重要的是F5 BIG-IP ASM設備。您可能知道 F5 是 Citrix 的主要競爭對手之一。他們以其一流的負載平衡器而聞名。這是一款面向大型企業的設備。

F5 BIG-IP ASM 威脅防護使用深度威脅分析和動態學習，您幾乎無需進行任何配置，但您可以確信您的基礎設施得到充分保護。F5 BIG-IP ASM 的另一個有趣功能是 SSL 卸載。該設備將即時處理 SSL 加密和解密，讓您的網絡服務器能夠專注於他們最擅長的工作，為網頁提供服務。

綜上所述

有如此多的產品和服務可供選擇，選擇合適的 WAF 解決方案可能屈指可數。它們是昂貴的系統，並且通常需要付出相當多的努力和培訓才能正確設置和配置。這可能不是為了嘗試許多不同的產品而想要做兩次的事情。確保您準確地確定您的需求和您的增長預測，您很有可能能夠更好地選擇最適合您的 WAF。