哪家的 WAF 设备做的比较好，单位拟采购

居然没有铱讯？

那些大公司的东西，尤其是安全方面，有的时候远远不如个人开发者。

如果是防注入， XSS 之类的东西，应该做在程序里，靠防火墙来过滤，总是能绕过的。
如果是访问限制，防 CC 之类的，建议做在 Web 服务器中

@typcn 企业里面会有很多碰不得的“黑盒子”。但是作为管理人员又不得不去提供安全防护措施。

@AntiGameZ
@typcn 头一回听说铱讯，了解下。是这样的，web服务器上可能同时运行新旧网站程序，而旧程序是十多年前，当时开发的公司都找不到了，要手工查找漏洞修补起来成本太高，而且一时半会这旧系统还没法扔掉，只能靠WAF了。

@bobopu 你这个就是典型的“黑盒子” 嘛。我这一大堆无人维护的网站和服务器，又不能下线。4年前买了 Plesk + WAF，基本上维护工作少了90%。