那些急于达到PCI安全标准的企业在选择Web应用防火墙(WAF)时往往无所适从。怎样才知道该选择什么产品？如何才能有效地部署和管理这些工具和软件？如何把它们与现有的基础架构有机组合起来？下面我们将列出在评估产品时帮助你遵从法规的需要着重考虑的几点。

　　Web应用防火墙（Web application firewall）或应用层防火墙是一种旨在保护Web应用程序免受攻击和数据泄露危害的装置或软件。它位于Web客户端和Web服务器之间，根据既定的安全策略来分析应用层报文里的非法数据。Web应用防火墙位与网络防火墙和入侵检测/防御系统相比解决的是不同的安全问题，后者主要目的是保护网络边界。在急急忙忙购买前，你可得先做好心理准备，它可不是即插即用的法规复选框，也不是摆到你的服务器前就能用的。 

　　你需要知道的

　　不管提出什么样的新法规或者安全要求，法规遵从负责人员往往会急于作决定。许多系统管理员作决定的依据是一个厂商的广告词或者是正好需要的特殊要求欧或功能。

　　结果很可能会发现买的并不是最适合的产品，或是无法实现最佳的安全性。就算是时间紧迫，也并不能轻视对产品的考查。在选择Web应用防火墙等安全设备时，你首先应该给出下面这些问题的答案：

• 为了达到安全策略的目标法规的要求，需要执行哪些措施？
• 哪些附加的服务能真正起到作用？
• 它如何与你们现有的网络整合--你们自己是否有正确并且有效地使用它的技术？
• 它将对现有服务和用户造成怎样的影响，需要付出多大代价？

　　像PCI DSS（支付卡行业数据安全标准）这样的新法规要求你在回答第一个问题之前先更新或者至少检查安全策略。一套良好的安全策略能够明确保护你的数据所需达到的目标和要求。在此基础上，你才知道哪些安全设备是适合你的需求的。因为每个Web应用程序都是互不相同的，所以必须在软件安全开发周期(secure lifecycle development)的威胁建模(threat modeling)阶段就对其安全策略进行定制，以杜绝潜在的安全隐患。另外还一定要注意你所中意的那一款应用防火墙是否有应对以下威胁的能力：分析通过cookie或URL传递的参数，防御开放Web软件安全项目（OWASP）提出的十大应用漏洞，以及安全标准里提出的其它要求。