可靠的应用安全系统是确保Web网站以及保护敏感数据的必备措施。然而，并不是所有的应用安全系统都能提供保护功能。以下十个指标有助于人们评估应用安全系统是否真正提供应用保护功能。

　　是检查应用通信还是检查数据包？

　　为了准确识别应用层威胁，安全设备必须“看到”与所保护的应用相同的通信流，这意味着安全装置必须跟踪每一次应用会话的状态。 从技术上讲，只是简单地检查IP数据包（无论是单独检查还是队列检查），并不能保护应用。

　　能否检测并防范加密攻击？

　　实际上，所有Web应用通信都使用Secure Sockets Layer（SSL）进行加密，以保护数据的完整性。然而，SSL也为黑客提供了可以逃避检测的工具。因此，只有在检查之前把SSL加密通信解密成原来的文本格式，才能实现应用层安全检测。

　　能否保护应用基础设施和用户？

　　应用安全涉及如何保护应用基础设施的所有部件（如服务器操作系统、应用程序和后端数据库等）以及该应用的用户，仅仅保护应用程序和应用数据是远远不够的。此外，企业还必须保持与用户的信任关系，以确保应用的商业寿命。例如，应用安全产品必须能够阻止对用户会话的窃听。

　　能否防范零日（zero-day）攻击？

　　零日攻击有两种不同方式：一是利用定制应用系统的弱点进行攻击；二是攻击那些还没有发布补丁的套装应用的弱点。应用安全系统必须能够检测和防范所有形式的零日攻击。使用攻击签名或事件关联分析无法防范零日攻击，实时调整并执行正确安全策略的应用安全系统才是防御零日攻击的惟一可行工具。

　　能否保护应用基础设施部件？

　　针对Web应用的许多攻击都是定制的，并且都利用了应用基础设施中的安全弱点。扫描有助于黑客明确其攻击方式，把目标锁定于数量较小的潜在安全弱点，设计出更具破坏性的攻击。应用安全解决方案至少应该提供以下保护能力来隐藏应用基础设施的细节：删除所有不必要的服务器应答标题，重写所有的应用URL，删除HTML注释，加密cookie名称和值、URL以及隐藏格式域。

　　能否防止敏感数据泄露？

　　许多Web攻击都是为了窃取敏感数据，如信用卡号码、银行账号等。任何一个用户都不能阻止所有的应用层攻击。为防止泄露敏感数据，应用安全系统需要检查整个流量，以掌握敏感数据情况。

　　是否妨碍正常通信？

　　部署应用安全系统通常是为了保护关键性的业务系统。但是许多应用安全设备对合法通信会造成不利影响。例如，错误封锁交易伙伴的正常通信。为了消除这一点，应用安全系统必须执行真正的应用层通信检查、保留所有的通信上下文内容、保留对所有应用数据的语义理解。

　　能否使Web基础设施合理化？

　　应用安全系统通常部署在DMZ，以保护应用服务器。在许多企业网络中，DMZ早就布满了数不清的单一功能设备，如负载均衡设备、SSL加速设备、应用代理以及TCP连接卸载设备等。减少DMZ的设备数量可以提高应用性能以及基础设施可靠性。此外，应用安全系统必须支持一些特殊功能: SSL加速、非高速缓存应用代理（即重写应用URL）、Web I/O加速、Web网站破坏防护。

　　能否为所有应用部署一致的安全策略？

　　诸如SQL注入之类的应用威胁可以通过“全局”设施来防范。但是人们仍然有必要定义每个应用的安全规则。应用安全系统必须虚似化安全策略，使其适应全局和每个应用属性。

　　能否根据应用环境动态调整安全策略？

　　许多Web应用自动生成动态内容。某些应用安全系统有可能封锁这些动态内容。人们必须寻找正确的应用行为，并自动生成安全策略建议，从而使合法的动态内容能够被安全系统认可。