软件还是硬件

　　按照PCI信息补编(Information Supplement)的规定， WAF可以在运行通用操作系统或设备的标准服务器上用软件实现。设备既可以是独立的，也可以是与其它网络组件集成到一起的。所以，你可以从市面上各种WAF里选择。

　　软件WAF通常更便宜、更灵活。硬件防火墙则更容易安装和配置，这是因为他们的操作系统已经固化在硬件里，而软件防火墙则还需要你自己去加固操作系统。（WAF没法让你免受服务器上的错误配置或漏洞的危害）

　　如果你选择软件防火墙，那最好选用能在你们IT部门熟悉的平台上运行的产品。而且不管是选择哪种，都要留意厂商提供了怎样的培训，培训费要多少。
 
　　当然，还有许多开源软件WAF可供选择，如ModSecurity[http://modsecurity.org ]和AQTRONIX WebKnight [ http://www.aqtronix.com ] 。如果他们能满足你的需求，那就可以大大降低成本，但工作人员仍然需要学习、安装、配置和维护这些软件。许多开源项目都有很好的技术支持论坛，但不像那些商业软件，你在碰到紧急情况时没法呼叫服务台求援。
 
　　性能和可扩展性也是你在硬件防火墙和软件防火墙之间作选择时需要考虑的重要因素。有些设备每小时所能处理的事务数可能会受到限制。有些设备则可能有带宽的限制。如果你需要应对不断增长的网络活动或者不久之后添加一些应用，那就应该选择一款扩展性和灵活性好一些的产品。

　　软件产品往往比硬件升级起来更方便，但硬件系统的更适合高流量的网站，这些网站需要很高的吞吐量。

　　如果你运行的是一个大规模的应用，需要一个以上的WAF ，那么集中管理可能就成了一项至关重要的功能，因为它能让你在一个地方集中地部署和管理防火墙规则。

　　我们的建议是不要在一颗树上吊死，只要它能满足你的要求，而且你有配置和管理的技术，那么软件防火墙和硬件防火墙都是很管用的。