适用于 IIS 的最佳 Web 应用程序防火墙是什么？

这是一个非常开放的问题。防火墙可以是软件或硬件，免费或数万美元。至于“最佳”，这真的取决于您的需求和预算。

当然，最后当你说“最好”时，我会说：思科。

请注意，“Web 应用程序防火墙”一词对不同的人来说也有不同的含义。对于 Cisco 来说，它似乎意味着一个针对 xml 的系统。您可能实际上需要一个更通用的防火墙，例如 ASA 系列中的防火墙。这些安全问题是多方面的，而且我不是 PCI-DSS 专家，所以我不能完全确定您的请求的细微差别。但是，我可以告诉您，无论您需要什么，Cisco 都有，而且它可能很棒，请原谅我的极致评价。

首先，我不知道你们这些怀疑论者过去几年都去哪儿了，但 PCI 中对 WAF 的要求是要求 6.6 的一部分，而且是过去几年讨论最多的要求。（我本来想发布一个链接，但由于我是新手，每条消息只能发布一个链接，而且我正在保存它。只需谷歌搜索“6.6 PCI WAF”，您就会得到一千个结果）。

至于哪个是“最佳”，最佳是一个非常相对的术语。尝试找到最适合您的需求和预算的那个。如果您想要一个起点，这里有一份主要参与者的简要介绍： http://www.docstoc.com/docs/9687629/WAF

我测试过许多主要硬件和软件供应商提供的各种 Web 应用程序防火墙。它们都没有对我手动发现易受攻击的 Web 应用程序中的问题的能力产生任何明显的影响。

它们在阻止蠕虫或缺乏经验的攻击者可能尝试的攻击方面做得相当好，但坚定的人类攻击者总是可以轻松调整其攻击媒介，使其不再绊倒 IDS。它们本质上都是将请求与正则表达式进行匹配，寻找常见的攻击模式。但它们很容易被绕过。

仅将此类设备视为您安全的附加层。不要将其视为让您的开发人员免于编写无漏洞代码，或让您的管理员免于定期更新和修补系统和软件。我可以免费告诉您，它们不会阻止人们利用您的 SQL 注入或跨站点脚本漏洞。

我尝试过几种顶级 WAF。有些内置了负载均衡器（例如 F5、Zeus）。其他则是专用的独立 WAF。通过实际运行 AppScan 来测试已知的易受攻击的 Web 代码，我测试了许多 WAF。对我来说，表现最好的是 Imperva 的 SecureSphere WAF。您需要为此付出高昂的代价，但就原始安全性、日志记录和可定制性而言，它目前是最好的。您可以获得虚拟或物理设备，每种设备都有其优势。它们的许可非常严格，而且价格昂贵，但它们的日志记录功能和签名更新很难被超越。

我们还使用 AppScan 和 WebInspect 对应用程序本身进行代码测试。正如前面提到的，最好使用 WAF + 代码审查，因为单独使用任何一种方法都无法获得 100% 的准确性。这与 IDS/IPS 系统非常不同，后者主要关注第 3 层流量，而不是如今大多数攻击都成功的第 7 层。还有基于云的 WAF 保护（安全即服务），它们提供相同的保护，但投资要少得多。