Nelson在公司的虚拟专用网络和外部网络应用程序中使用Check Point的集成产品。集成产品可以处理广泛的安全组件，而不只是一个特定于应用程序的防火墙，这一点是非常重要的。“我们希望在不牺牲性能和可管理性的前提下能够加强功能性。”他说。 
   同时，汽车零部件供应商AutoAnything.com公司则采取相反的做法，他们使用Breach Security的单机WAF来保护电子商务的安全。 “一个公司将很多事情都做好是不可能的。 ”其CTO Parag Patel表示。 
   忌：不要把WAF当成灵丹妙药 
   许多公司为了PCI合规的目的开始使用WAF，然而，分析师警告称，不要将WAF作为通过合规检测的产品项目。 
   “我见过很多错误的做法，”Young补充说，“很多人认为，只要买了防火墙就可以打发审计员，但是事实并非如此，必须定制适合自身环境的应用程序防御配置才行。” 
   宜：看看超越传统WAF功能的增强功能 
   Krikken表示，虽然传统的WAF客户都是安全团队，不过现在很多WAF产品开始引起了更多普通客户的关注，这要归功于WAF新增加的的分析功能、单点登陆支持和Web服务安全的集成功能。这也是为什么他建议WAF评价应该包括企业架构、应用实施和软件开发的负责人的原因。“这将改善解决方案安全方面的信心，以及减轻可用性和性能问题。 ”他说。 
   事实上，一家全球性能源公司决定应用WAF的目的是满足该公司服务导向架构(SOA)部署安全服务的需要。该公司的总设计师决定采用Reactivity XML加速器安全装置，在该业务被思科收购后，思科将其转变为ACE WAF。当能源公司决定购买一个面向因特网的WAF时，思科向其保证可以利用ACE将两种功能整合在一起，既满足其内部的SOA需求，又保护其Web应用程序的安全。 
   宜：关注WAF的性能监测功能 
   应用监测作为WAF的非传统用法，正日益流行和普及。WAF能够检测性能问题，或者是检测应用程序是否因为无效链接而造成错误网页等问题。 
   忌：不要认为有了WAF就一劳永逸 
   Krikken表示，虽然可以使用黑名单规则来保证基本的安全，但是还是需要准备好为最简单的web应用程序投入持续的时间和精力。“即使有规则模板和学习引擎，为了提高有效性和降低报错，还是需要经常对系统进行初步调整和持续定制。”他说。 
   在全球能源公司，总设计师称用思科的WAF可以在两小时内配置一个应用实例。不过，他希望有更多的像特点过滤等配置方面的最佳操作指南，而不是客户自己摸索着操作。 
   宜：关注学习引擎功能 
   有了学习引擎，WAF可以学习和了解应用程序，进而创建甚至执行规则。Krikken表示，在动态环境中，最好让WAF对异常行为作出提醒而不是直接阻止。 
   Patel用了几个月Breach的学习引擎，他称其为简化的网络应用程序。Patel的团队回顾那段时间的工作时发现，Breach的学习引擎可以标记不规则行为。Patel表示：“你需要一定程度的舒适性，它会作出正确的决定 ”然而，随着时间的推移，Patel希望实现自动拦截功能。“随着我们网站流量的增大，WAF判断违规操作并第一时间关闭那些企图是非常必要的。 ”他说。 
   举例来说，WAF阻止其竞争对手处理网站上的产品数据，其中包括数以百万计的库存(SKUs)和价格信息。 “如果我们看到有人按周或按月检查数据，这表示我们的竞争情报蒙受了重大损失。 ”Patel说。 
   宜：关注企业级应用 
   Jarden公司的Nelson选择Check Point安全产品的部分原因就是为了满足企业级应用，其控制台功能可以实现对全公司所有防火墙的集中管理。他特别喜欢的功能就是将所有的防火墙集中到所谓的“容器”中，并在这些容器内应用不同的策略。 
   与此同时，一家营养品制造商的安全通讯工程师表示，其使用的梭子鱼系统(Barracuda system)的最大优势在于它的可扩展性。该公司使用WAF的主要动机是为那些需要接收来自世界各地邮件的用户提供安全的web电子邮件界面。同时WAF也被用来阻止应用层攻击。 
   安全工程师希望，不管用户在什么地方，只要向用户提供一个单一的URL，他们就可以接收电子邮件，他还希望在不中断的情况下能够扩大系统范围。因为他可以在不需要新IP地址的情况下添加额外的WAF设备。“如果开始被重载，我们必须做的事情就是使用另外一个设备，将两个设备整合在一起，获得双倍能力。”他说。

(责任编辑：adminadmin2008)