等保時代真的來了，確確時時的給網站做防護、上WAF了。

最近有朋友跟我說：

他們公司網站被網安查了，網安直接上門警告了，要求做等保、給網站上WAF。

問我哪款WAF比較好，小企業預算不多，有沒有不太貴的WAF？

相信這是很多中小企業都很關心的問題，等保2.0執行後，各地網安應該會逐漸排查轄區內的網站情況，落實網站防護問題。

那麼，上WAF就是必須的了。準備上WAF的網站管理者會問：WAF設備哪個牌子的比較好？

能上雲WAF嗎？

有的能，有的不能，如果只是展示性網站，沒什麼數據流經，沒有太多的用戶信息是可以的。

否則用戶信息，包括帳號密碼，如果都流經雲WAF，著實令人不放心。

所以，雲WAF是一部分人的可選項。

而且，雲WAF也不便宜：

硬件WAF怎麼樣？

硬件WAF是給大企業、大平臺使用的。

使用硬件WAF的基礎，是你得有自己的機房，起碼也得有獨立服務器。否則，買上硬件往哪接呢？

硬件WAF的價格一般都很貴。比如：

對於中小企業來說，最適應的應該是軟件WAF。

那麼，該如何選一款軟件WAF呢？

軟件WAF

國內，大約有三十四家大大小小的WAF廠商，知名的如：綠盟、啟明、神州數碼等。廠家們前後推出的WAF產品尚在市場的大約有數十款。其中提供軟件WAF約有十來家，準確的說是13家，如：奇安信，天融信，沃奇德格，等。

安全廠家有大有小，WAF產品價格也有高有低，一般來說，大廠家的WAF，價格自然高，因為大公司成本高嘛，成本自然要轉嫁到消費者身上，服務嘛，理論上是會好一些，但從實際情況來看，得“遇”，這點不好肯定的說大廠就一定好小廠就不定差。其實這也是買WAF另一層需考慮的：服務，部署、維護、售後，得有人管。
而在功能上，是需要認真甄別的，除了主要的防護常見網絡攻擊是必備的以外，各家的產品也都各有功能側重。

俗語說：酒越陳越香，在安全產品上，恐怕是要反著的，或者起碼這個道理不能應用在WAF類產品上，為什麼這麼說呢，因為IT業的發展是在是太快了，從PC時代，到互聯網時代，再到人工智能時代，不過短短几十年，互聯網急速的發展，使許多業務的基本面也在快速發生著變化。

具體到安全方面的WAF產品，由於安全環境的變化，產品也得跟著環境變化而更迭，這就造成了一個問題，大廠由於體量大、轉身難，就造成了產品一旦定型，很不容易在功能上有創新，甚至是跟不上時代的發展需求。直白的說：大廠WAF，往往功能老舊，只具備基本的防護能力，比如SQL注入、XSS這些。而對於新興的

另外，除了商用WAF，還有一類，有免費開源的WAF，但多是個人小眾產品，據本人調查，國內外開源的幾個WAF，均已多年不曾更新。其實這也並不意外，因為WAF是ToB類產品，免費雖然好聽，但實際上，如果產品不能產生收益，誰又能長時間保護產品功能更新，試問：圖什麼，靠什麼？這也就是開源WAF不能商用的原因。
再補充一條，國外有個老牌的WAF，名為ModSecurity，基於nginx的插件WAF，如果你web用的是nginx，也可以瞭解下這款。不過，也是開源免費的口號，且是有廠家在背後支持的，但事實上卻並不是正真的免費：產品免費用，但它也是傳統的老WAF，需要靠規則進行防護的，而它的規則庫...是收費的。怎麼樣，是不是有種被套路的感覺：）
綜合而言，現在選購WAF，還是有點難度的。

除了上面說的，

本人建議中小企業這麼選擇WAF：

1、先確定預算，比如預算5萬，那麼，先詢價，通過價格，先排除一部分產品。
注：5萬隻是個例子，中小企業預算不會太多，如果是政府、銀行這些不差錢，有預算的單位，比如200萬的預算，而且主要是合規性需求，那可以直接找大廠，價格將會是匹配的，如果用了大廠產品而在防護效果上有擔憂，可以再疊加一套創新的WAF。

2、再瞭解功能。先通過產品介紹做初步瞭解，滿足自己需求的，接下來進行試用。
照以上兩條進行即可。
說起來容易，做起來卻不是那麼容易，需要花不少時間的，WAF產品的功能通常比較多，想了解一個產品，除了開始的從簡介、白皮書、功能書中瞭解，還得進一步的測試，實際防護效果，甚至對比幾家不同家產品的功能。操作起來，時間就花進去了，據本人經驗，選擇一款合適的WAF，前前後後至少得一個月時間。當然，這是很認真操作下的情況。

如果只是想照預算選購一款WAF，也有簡單的辦法：詢價，對比，選定一家性價比高的部署即可。這麼操作，少則一週，多則兩週連部署也搞定了，WAF就用上了。有朋友疑惑：不看功能了嗎？看，簡單的看，看官網是否正規，看PPT是否公整。可以了。因為可以這麼想：能在互聯網生存的WAF類產品，基本上，是可以信的過的。

閱讀更多 WangLiwen 的文章

關鍵字: 軟件 中小企業健康之道 美好，一直在身邊