APIها در WAF حساس‌تر از صفحات وب معمولی‌اند. بدون baseline و exception دقیق، یا سرویس قطع می‌شود یا policy بی‌اثر.

WAF جای فایروال شبکه را نمی‌گیرد؛ برای محافظت از وب‌اپلیکیشن و API در لایه ۷ استفاده می‌شود و باید با برنامه دقیق پیاده‌سازی شود.

API را نمی‌شود مثل یک صفحه وب معمولی پشت WAF گذاشت. در FortiWeb باید method، JSON، token، rate limit و exceptionها دقیق طراحی شوند.

وقتی FortiWeb ترافیک سالم را Block می‌کند یا حمله واقعی در لاگ گم می‌شود، باید از روی Request، Rule، Signature و Policy علت را دقیق پیدا کرد.

برای استقرار FortiWeb باید معماری عبور ترافیک، TLS، policy tuning، false positive، لاگ و مسیر تغییرات قبل از حالت Block مشخص شود.

چک‌لیست عملی برای تیم‌های شبکه بعد از خبر سوءاستفاده فعال از آسیب‌پذیری‌های Fortinet؛ از بررسی FortiGate و FortiWeb تا لاگ ورود مدیران، SSO، patch، credential rotation و hardening.