了解Web應用情況：制定WAF部署最為重要

與其要問你的Web應用防火牆（Web Application Firewall, WAF）做了多少工作，不如問問你想為你的WAF做多少？在你著手部署WAF之前，這是一個很重要的問題，尤其是它用來應用快速開發週期時。Web應用防火牆可以提供卓越的保護來抵制不同類型的威脅和攻擊，但是許多企業在沒有完全瞭解到預期結果及需要多少資金時，就開始著手部署了。

大部分企業的WAF有兩個主要功能：培養和定制。如果你正在尋找部署一個WAF，來檢測並阻止攻擊，那麼應用程式的特徵將決定檢測和阻止是如何有效，以及維護或保護上需要多少工作。

因為應用常常改變，所以保護設定可能需要放鬆一些，以避免出現錯誤，以致於培訓功能無法跟上部署的時間表。另外，複雜的應用或需要特殊應用時，很可能需要進行規範化來打造WAF的保護和阻止以Checkpoint Algorithm方式發送。

添加制定可以使WAF在檢測和阻止中有更高效率，量度這些定制不僅耗時，還必須隨著應用的進化來進行維護。沒有很好的維護規則的話，隨著時間過去可能會令保護能力削弱，以及阻止不必要的請求。

許多企業把WAF看作是保護技術，用它來部署進行檢測及阻止攻擊，在它造成更大的損失和妥協之前。這確實很理想，但是正如前面討論的那樣，真正實現這些結果可能是一個挑戰，包括隱藏或計劃的費用。看看WAF部署的另一種方法，是想獲得應用使用率和攻擊模式的智慧方法。

在智慧收集部署中，遮罩的規則被取消或縮減，重點是收集有關流量模式的log data、隨著時間出現的可疑請求等等，這可以提供監測活動的圖片。這類部署可能不會兌現WAP宣傳所指的立即瞭解應用，然後成功阻止所有的攻擊。但他們更現實，考慮到企業資源水平，和在WAF投資中的承諾。

最後，只有在企業對整個部署有目標和深思熟慮後，才應該開始WAF部署工作，而不是“讓我的Auditor別管我。” 企業對於將要獲得的保護水準要有切實的期望，以達到保護水準所需要的投資量。