几个月以前我决定去探查一下Web应用层防火墙(WAF)是否真正有用,或者它仅仅是一个花费巨大的披着华丽外衣的废物,只是使得审计人员用来逃脱职责。
当然,WAF的卖家总是一成不变的告诉我们他们的产品是如何如何的好,有多少多少的客户在使用他们的产品,但是,这不是最好的方式来了解真实的情况。我也在与一些最终用户的谈论中获知了一些真实的情况,甚至这种方式也不是一个发现安全工具价值的最好方式。并不是所有的使用者有很好的观察法和内部控制方式去测试这些工具的效用,而且由于一些政治和技术方面的原因,很多人并不能够以最优的方式去部署这些工具。
…