从原理上,下一代防火墙,需要对数据包的七层都进行分析,但是在开启多种功能后,处理流量的速度会大幅度下降。WAF,虽然也要解封数据包到第七层,但是他只做一件事,在处理速度上要比下一代防火墙快一些。
从场景上:下一代防火墙和WAF都对应用层有防御作用,但是各个厂家的规则匹配漏洞的规则不一样,规则更新速度也不一样,在防护的及时性上也就会有差别。同时纵深角度防御的角度来说,即使部署防火墙上开启了应用层防护功能,也可以部署其他厂家的WAF,即使前面的设备没有匹配到规则,另外一个厂家的WAF,也可能匹配到,在防御层面,做一个匹配策略上面的互补。
从价格上:如果要功能都开,而且吞吐量不低的下一代防火墙,价格不便宜。
web服务是企业唯一的对外服务,也是当前80%的黑客攻击目标,通过web进入企业内网。
防火墙一般追求的是稳定性与访问控制两个核心要求,部署在网络出口,几年都很少升级。
稳定性:web应用防火墙规则升级频率高,升级会进行架构重启。下一代防火墙带WAF功能难免会影响稳定性。
产品功能:WAF应针对网站进行安全建模,具备web服务不同架构攻击(注入、webshell、跨站等)建立分块分级保护策略。
如果是等保要求,可以在下一代防火墙带WAF,但是真正要去做网站安全防护,建议还是专业级WAF,工欲善其事, 必先利其器