WAF，又名Web应用防火墙，能够对常见的网站漏洞攻击进行防护，例如SQL注入、XSS跨站等；目前WAF最基本的防护原理为特征规则匹配，将漏洞特征与设备自身的特征库进行匹配比对，一旦命中，直接阻断，这种方法能够有效防范已知的安全问题，但是需要一个强大的特征库支持，特征库需要保证定期更新及维护；

但是对于零日漏洞（未经公开的漏洞），就需要设备建立自学习机制，能够根据网站的正常状态自动学习建立流量模型，以模型为基准判断网站是否遭受攻击。

网络安全与防火墙的关系是目标和手段的关系，保障网络及业务系统的安全是目标，使用防火墙执行访问控制拦截不该访问的请求是手段。要达成安全的目标，手段多种多样，需要组合使用，仅有防火墙是远远不够的。

侠义的防火墙通常指网络层的硬件防火墙设备，或主机层的防火墙软件，一般基于五元组（源IP、源端口、目标IP、目标端口、传输协议）中的部分要素进行访问控制（放行或阻断）。

广义的防火墙，还包括Web应用防火墙(Web Application Firewall，简称WAF)，主要功能是拦截针对WEB应用的攻击，如SQL注入、跨站脚本、命令注入、WEBSHELL等，产品形态多种多样。

此外，还有NGFW（下一代防火墙），但这个下一代的主要特性（比如往应用层检测方向发展等）基本没有大规模使用，暂不展开。

在笔者看来，在当前防火墙基础上扩展的下一代防火墙，未必就是合理的发展方向，主要原因之一就是HTTPS的普及，让网络层设备不再具备应用层的检测与访问控制能力。也正是基于这个考虑，Janusec打造的WAF网关，可用于HTTPS的安全防御、负载均衡、私钥加密等。

自己在公司内也是从事相关工作，当前就自己的经历可以做下分享：

安全不是简单的软硬件堆叠，需要自己先看看在实际工作中遇到了哪些问题，方案最首先的是解决遇到的问题，然后举一反三，逐步完善。

根据题主问题：

1、杀毒软件 — 之前自己公司的服务器有的不安装杀毒软件，但是遇到病毒之后，不但都安装了，而且是企业版的。

2、主机防御系统：公司人数较少，服务器应该也不多，建议采用SaaS模式的主机防御系统，随时了解主机是否失陷、是否有入侵，漏洞补丁，后门检查等，投资少，见效快，关键还有专业人员随时解答。(有网站的话，可以使用下云WAF防止sql注入以及xss等等应用层面的攻击)

3、交换机端口策略：一些常见的病毒传播端口(如445、3389等)，建议做下ACL策略。

4、硬件版本的防火墙：鉴于公司的实际情况，可以考虑购买下防火墙及IPS。作为边界防护使用

另：自己可以下载kali linux研究下，自己内部定期检查下服务器漏洞、网站漏洞等，要求管理员进行修复。

我们公司内部是：防火墙、IPS、WAF、行为审计、漏洞扫描、数据库审计、企业版杀毒软件以及交换机端口隔离、ACL控制、无线网络认证等；外加网络安全管理制度、人员安全意识培训等开展的。

其他态势感知、外部安全厂家的安全维护等亦在考察。

以上供参考。

一般说来，数据安全防护主要从4个方面进行，数据泄漏保护、数据权限保护、数据管理、数据加密。数据泄漏保护，顾名思义就是防止数据泄漏。通常业务装WAF，阻止黑客入侵业务防止黑客获取业务数据，也是防止数据泄漏的一种。阿里云推出了云盾WAF啊，云盾安骑士啊就是解决这个问题的。数据权限保护，也很好理解，就是管住自己人，不随便让自己人去拿数据。数据管理，大致是对数据做管理。数据要拿出去要审批，要符合各种规定。数据加密，就是对数据做加密处理。毕竟谁也不能保证自己不出问题，对数据加密的好处就是黑客啊，竞争对手啊通过各种就算获取了你的数据，那也是密文的，解不开。阿里云也推出了云盾加密服务，可以对数据做加解密。密钥只有用户自己管理，安全性很高。国家密码主管部门也审核过安全性。

Web应用搭建WAF，希望有经验的朋友给些建议，当然也欢迎modSecurity及Naxsi之外好的方案。

Web应用防护系统（也称：网站应用级入侵防御系统。英文：Web Application Firewall，简称： WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。