早在2004年，國外一些安全廠商就提出了Web應用防火墻（Web Application Firewall，簡稱WAF）的概念，并開始了逐步的嘗試（例如梭子魚網絡有限公司將Netcontinuum公司納入旗下，當時的Netcontinuum就是這一領域的先行者，其解決方案包含網站的網絡應用安全、通信管理和SSL加速等）。支付卡行業安全標準委員會也發布了支付卡行業數據安全標準（PCI DSS），這讓Web應用防火墻開始被越來越多的人所熟知。但因為業界一直缺乏明確的標準，有些安全產品也能夠在一定層次上保護某些Web應用，人們對Web應用防火墻的認識一直處于"霧里看花"的狀態，在很多問題上都很困惑。

那么，Web應用防火墻既然也叫"防火墻"，是不是和傳統防火墻差不多？它和IPS產品又有什么區別？網頁防篡改產品也能保護Web應用，它是不是也可以算是Web應用防火墻的一種？

WAF不同于傳統防火墻

傳統防火墻的弱點在于：工作在三四層，攻擊可以從80或443端口順利通過防火墻檢測。

由于Web應用防火墻的名字中有"防火墻"三個字，所以很多用戶都很困惑，我的網絡中已經有了防火墻，再引入Web應用防火墻，是不是屬于重復投資？

實際上，Web應用防火墻和傳統意義上的防火墻，然名字中都有"防火墻"三個字，但它們屬于兩類完全不同的產品，不能互相替代。

從部署位置上看，傳統防火墻需要架設在網關處，而Web應用防火墻則部署在Web客戶端和Web服務器之間。

從防范內容來看，傳統防火墻只是針對一些底層（網絡層、傳輸層）的信息進行阻斷，提供IP、端口防護，對應用層不做防護和過濾；而Web應用防火墻則專注在應用核心層，對所有應用信息進行過濾，從而發現違反預先定義好的安全策略的行為。

Web應用防火墻作為一種專業的Web安全防護工具，基于對HTTP/HTTPS流量的雙向解碼和分析，可應對HTTP/HTTPS應用中的各類安全威脅，如SQL注入、XSS、跨站請求偽造攻擊（CSRF）、Cookie篡改以及應用層DDoS等，能有效解決網頁篡改、網頁掛馬、敏感信息泄露等安全問題，充分保障Web應用的高可用性和可靠性。

WAF不同于IPS

IPS入侵防御的弱點在于它基于已知漏洞和攻擊行為的防護，而且不能終止和處理SSL流量。

Web應用防火墻的與眾不同之處在于它對Web應用的理解，對HTTP協議的深刻理解，和對應用層攻擊的理解。

與傳統防火墻/IPS設備相比，WAF最顯著的技術差異性體現在：

1.對HTTP有本質的理解：能完整地解析HTTP，支持各種HTTP編碼，提供嚴格的HTTP協議驗證，提供HTML限制，支持各類字符集編碼，具備response過濾能力。

2.提供應用層規則：Web應用通常是定制化的，傳統的針對已知漏洞的規則往往不夠有效。WAF提供專用的應用層規則，且具備檢測變形攻擊的能力，如檢測SSL加密流量中混雜的攻擊。

3.提供正向安全模型（白名單模型）：僅允許已知有效的輸入通過，為Web應用提供了一個外部的輸入驗證機制，安全性更為可靠。

4.提供會話防護機制：防護基于會話的攻擊類型，如Cookie篡改及會話劫持攻擊。

WAF不局限于網頁防篡改

網頁防篡改的弱點在于對于攻擊行為并不進行分析，也不阻止攻擊的發生。

不可否認，網頁被篡改是目前最直觀的Web安全問題，無論是政府網站、高校網站，還是運營商網站、企業網站，都曾出現過嚴重的網頁篡改事件，這讓網頁防篡改產品開始映入人們的眼簾。

但網頁防篡改系統是一種軟件解決方案，它的防護效果直接，但是只能保護靜態頁面，而無法保護動態頁面。

而網頁防篡改系統的不足，恰恰是Web應用防火墻的優勢。WAF部署在網絡中，深入分析HTTP協議流量，在全面防御各種Web安全威脅的同時，對Web服務器沒有任何干擾，從根本上解決了包括網頁篡改在內的主要Web安全問題。