適用於 IIS 的最佳 Web 應用程式防火牆是什麼？

這是一個極為開放式的問題。防火牆可以是軟體或硬件，可以是免費的，也可以是數萬美元的。就「最佳」而言，這實際上取決於您的需求和預算。

當然，最後，當你說「最好」時，我說：思科。

請注意，術語「Web 應用程式防火牆」對於不同的人來說也有不同的含義。對 Cisco 來說，它似乎意味著一個面向 xml 的系統。您實際上可能需要一個更通用的防火牆，例如 ASA 系列的防火牆。這些安全問題是多方面的，而且我不是 PCI-DSS 專家，因此我不能完全確定您的請求的細微差別。不過，我可以告訴你，無論你需要什麼，思科都能滿足，而且如果你能原諒這個最高級的話，它可能會很不錯。

首先，我不確定過去幾年你們的懷疑者在哪裡，但 PCI 中的 WAF 要求是要求 6.6 的一部分，並且它是過去幾年最受關注的要求。 （我會發布一個鏈接，但由於我是新人，我只能為每條消息發布一個鏈接，並且我正在保存它。只需谷歌“6.6 PCI WAF”，您就會得到一千個結果）。

至於哪一個是“最好的”，最好是一個非常相對的術語。試著找出最適合您的需求和預算的。如果您想要一個起點，這裡有對主要參與者的簡短描述： http://www.docstoc.com/docs/9687629/WAF

我測試了許多主要硬體和軟體供應商提供的多種不同的 Web 應用程式防火牆。它們都沒有真正對我手動暴露易受攻擊的 Web 應用程式中的問題的能力產生任何顯著影響。

他們非常擅長阻止蠕蟲或缺乏經驗的攻擊者可能嘗試的攻擊，但堅定的人類攻擊者總是可以輕鬆地調整他的攻擊向量，使其不再使 IDS 絆倒。它們本質上都將請求與正規表示式進行匹配，尋找常見的攻擊模式。但他們很容易四處走動。

僅將此類設備視為安全的附加層。不要考慮使用一種方法來阻止您的開發人員編寫無漏洞的程式碼，或阻止您的管理員定期更新和修補系統和軟體。我可以免費告訴您，它們不會阻止人們利用您的 SQL 注入或跨站點腳本漏洞。

我嘗試過幾種頂級的 WAF。有些內建負載平衡器（例如 F5、Zeus）。其他的是專用的獨立 WAF。透過針對已知易受攻擊的 Web 程式碼實際執行 AppScan 來測試大量的測試。對我來說表現最好的是 Imperva 的 SecureSphere WAF。你將為此付出高昂的代價，但就原始安全性、日誌和可自訂性而言，它是目前最好的。您可以獲得虛擬或實體設備，每種設備都有其優點。它們有非常嚴格的許可，而且價格昂貴，但它們的日誌記錄功能和簽名更新很難被擊敗。

我們也使用 AppScan 和 WebInspect 對應用程式本身進行程式碼測試。正如已經提到的，進行 WAF + 程式碼審查是最好的，因為單獨使用任何一種方法都無法獲得 100% 的結果。這與 IDS/IPS 系統有很大不同，IDS/IPS 系統主要關注第 3 層流量，而不是當今大多數攻擊都成功的第 7 層。還有基於雲端的 WAF 保護（安全即服務），它提供相同的保護，但投資卻少得多。