如何做一款好的waf产品(5)

管理接口

是否为管理使用一个独立的网络接口从而提供一个独立管理通道

是否支持双因素认证

后台控制API

WAF是 否提供了后台控制的API使得后台受保护的程序可以利用其操纵WAF进行某些操作(如：终止用户会话， 阻断某个IP或限制登录尝试等)。

WAF自身安全

WAF如何保证自身安全，使用了什么操作系统定期的打补丁，补丁升级是否是自动，WAF机器具有HIDS。

性能

在网络层这一层去衡量WAF的性能更是一个难题，有关内容参考NSS 的相关文章：http://www.nss.co.uk/WebApp/Ed1/WebApp%AD_Performance_Testing.htm)。

下面的两个部分是对WAF作为普通网络设备的性能评价指标，并未涉及其保护机制的性能评价，我们将在以后扩展这一部分。

HTTP层性能

1. 最大新建连接速率。

2. 最大吞吐量(eg:访问一个 32KB大小的页面)。

3. 最大请求速率(with Keep-Alives enabled)。

4. 最大并发连接数。

5. 请求延迟（Request latency）。

上面的性能指标均是假定在零丢包的情况下测得的最大值。

打开SSL的HTTP层性能

这是在后台应用没有使用SSL的情况下，单纯测试如果WAF代替后台进行SSL传输时的性能 值：

1. 最大新建SSL连接速率。

2. 最大新建SSL会话速率。

3. 在指定加密算法下最大SSL流量吞吐量(eg:访问一个 32KB大小的页面)

4. 最大请求速率(with Keep-Alives enabled).

5. 最大并发连接数。

6. 请求延迟（Request latency）。

上面的性能指标是假定在零丢包的情况下测得的最大值。

负载下的性能

系统的管理能力在较大的攻击流量下不受影响。

XMLXML相关问题

1. WAF保护基于XML的 Web Services。

2. 支持指定WS-I Basic conformance (http://www.ws-i.org)。

3. WAF对使用WASDL定义 Web Services 函数调用进行限制。

a. WAF可以阻止由管理员指定禁止访问的Web Services函数调用。

b. WAF检查Web Services函数调用时输入的参数数值或类型。

4. WAF对WebServices和RPC通讯数据进行验证。

5. WAF对XML文档内容有效性进行验证。