管理接口
是否为管理使用一个独立的网络接口从而提供一个独立管理通道
是否支持双因素认证
后台控制API
WAF是 否提供了后台控制的API使得后台受保护的程序可以利用其操纵WAF进行某些操作(如:终止用户会话, 阻断某个IP或限制登录尝试等)。
WAF自身安全
WAF如何保证自身安全,使用了什么操作系统定期的打补丁,补丁升级是否是自动,WAF机器具有HIDS。
性能
在网络层这一层去衡量WAF的性能更是一个难题,有关内容参考NSS 的相关文章:http://www.nss.co.uk/WebApp/Ed1/WebApp�_Performance_Testing.htm)。
下面的两个部分是对WAF作为普通网络设备的性能评价指标,并未涉及其保护机制的性能评价,我们将在以后扩展这一部分。
HTTP层性能
1. 最大新建连接速率。
2. 最大吞吐量(eg:访问一个 32KB大小的页面)。
3. 最大请求速率(with Keep-Alives enabled)。
4. 最大并发连接数。
5. 请求延迟(Request latency)。
上面的性能指标均是假定在零丢包的情况下测得的最大值。
打开SSL的HTTP层性能
这是在后台应用没有使用SSL的情况下,单纯测试如果WAF代替后台进行SSL传输时的性能 值:
1. 最大新建SSL连接速率。
2. 最大新建SSL会话速率。
3. 在指定加密算法下最大SSL流量吞吐量(eg:访问一个 32KB大小的页面)
4. 最大请求速率(with Keep-Alives enabled).
5. 最大并发连接数。
6. 请求延迟(Request latency)。
上面的性能指标是假定在零丢包的情况下测得的最大值。
负载下的性能
系统的管理能力在较大的攻击流量下不受影响。
XMLXML相关问题
1. WAF保护基于XML的 Web Services。
2. 支持指定WS-I Basic conformance (http://www.ws-i.org)。
3. WAF对使用WASDL定义 Web Services 函数调用进行限制。
a. WAF可以阻止由管理员指定禁止访问的Web Services函数调用。
b. WAF检查Web Services函数调用时输入的参数数值或类型。
4. WAF对WebServices和RPC通讯数据进行验证。
5. WAF对XML文档内容有效性进行验证。
