选择WAF

　　为了确定一款Web应用防火墙(WAF)确实符合PCI DSS，你还应该对照一下PCI安全标准委员会发布的《信息补编：需求6.6版 代码评估和应用防火墙阐述》(Information Supplement: Requirement 6.6 Code Reviews and Application Firewalls Clarified) [链接：https：//www.pcisecuritystandards.org/pdfs/infosupp_6_6_applicationfirewalls_codereviews。PDF格式]。

　　他们必须能够检查和处理HTML ，动态HTML （DHTML），级联样式表（CSS）等网页内容 ，另外还要有对你的程序所使用的HTTP，HTTPS等协议的检查和处理能力。

　　此外，最好再了解下厂商过去对新协议的反应速度有多快。你可以审查一下他们的开发和支持服务条款，以确定他们是否对自定义协议提供支持，是否对足够广泛的应用协议提供支持。另外，WAF必须能够检查Web服务信息，通常包括的SOAP和XML 。你可以问问供应商是如何进行自动更新以及如何应用动态签名(dynamic signature)的。这样的交流可以帮助评估他们的技术支持和服务能力。
 
　　最后，询问每项特殊功能所需的额外费用。例如，有些应用程序可能需要FIPS硬件密钥库的支持。有的Web应用防火墙(WAF)厂商的确能提供这一功能，但却价格奇高。

　　随着一项一项解决需求，建议你花些时间去了解一下每种WAF的用于为一个或者更多的安全区域提供支持的技术细节和处理深度。你能正确指出合法的数据类型和范围并创建组合使用白名单和黑名单的安全规则吗？WAF在面临对它自身的攻击时，抵抗力有多强？比如，它应该运行在一个可靠的操作系统上，可能还有组件在一个无特权并且封闭的环境里运行。如果这套产品的安全性还未达到坚如磐石的程度，那你的讨论也该就此中止了。