Web应用防火墙(WAF)旨在保护Web应用程序免受常见攻击(如跨站脚本攻击和SQL注入攻击等)的威胁。传统防火墙主要在于保护网络的外围部分，而WAF则部署在Web客户端与Web服务器之间。专家表示，Web应用防火墙的最大好处是，帮助分析应用层的流量以发现任何违法安全政策的安全问题。
　　
　　虽然某些传统的防火墙能够提供某种程度的应用方面的保护，但是从针对性和范围来看，都比不上WAF。举例来说，WAF可以检测出应用程序是否以其规定的方式在运行，并且能够帮助你编写更具体的安全政策以防止同样的事情再次发生。
　　
　　WAF与入侵防御系统(IPS)也存在差异，Gartner的分析师GregYoung表示，“这是一种非常不同的技术，它不是基于签名，而是从行为来分析，它能够帮助减少你自己无意中可能制造的漏洞问题，”
　　
　　国外市场上具有WEB应用防火墙功能的产品名称就有不同的几十种，更不用说是产品的形式和描述了。它难以界定的原因是这个名称包含的东西太多了。较低的网络层(Web应用防火墙被安置在第七层)被许多设备所覆盖，每一种设备都有它们独特的功能，比如路由器，交换机，防火墙，入侵检测系统，入侵防御系统等等。然而，在HTTP的世界里，所有这些功能都被融入在一个设备里：Web应用防火墙。
　　
　　由于WEB应用防火墙的多面性，拥有不同知识背景的人往往会关注它不同方面的特点。比如具有网络入侵检测背景的人更倾向于把它看作是运行在HTTP层上的IDS设备;具有防火墙自身背景的人更趋向与把它看作一种防火墙的功能模块。还有一种理解来自于“深度检测防火墙”这个术语。他们认为深度检测防火墙是一种和Web应用防火墙功能相当的设备。然而，尽管两种设备有些相似之处，但是差异还是很大的。深度检测防火墙通常工作在的网络的第三层以及更高的层次，而Web应用防火墙则在第七层处理HTTP服务并且很好地支持它。
　　
　　增强的输入验证
　　
　　就频繁发生的Web安全问题而言，有些是源于对Web设计模型的误解，有些则来自于程序师认为浏览器是可信的。很多WEB程序员用JavaScript在浏览器上实现输入验证。而浏览器只是一个用户控制的简单工具，因此攻击者可以非常容易地绕过输入验证，直接将恶意代码输入到WEB应用服务器。
　　
　　有一个解决上述问题的正确方法，就是在服务端进行输入验证。如果这个方法不能实现，还可以通过在客户和应用服务器之间增加代理，让代理去执行Web页面上嵌入的JavaScript，实现输入验证。
　　
　　消极的安全模型VS积极的安全模型
　　
　　曾经设置过防火墙规则的人，可能会碰到这样的建议：允许已知安全的流量，拒绝其他一切访问。这就是一种很好的积极安全模型。恰恰相反，消极安全模型则是默认允许一切访问，只拒绝一些已知危险的流量模式。
　　
　　每种安全模型方式都存在各自的问题：
　　
　　消极安全模型：什么是危险的?
　　
　　积极安全模型：什么是安全的?
　　
　　消极安全模式通常使用的更多。识别出一种危险的模式并且配置自己的系统禁止它。这个操作简单而有趣，却不十分安全。它依赖于人们对于危险的认识，如果问题存在，却没有被意识到(这种情况很常见)，就会为攻击者留下可趁之机。
　　
　　积极安全模式(又称为白名单模式)看上去是一种制定策略的更好方式,非常适于配置防火墙策略。在Web应用安全领域中，积极安全模式通常被概括成对应用中的每一个脚本的枚举。对枚举的每一个脚本，需要建立一个相应列表，表中内容如下所示：
　　
　　*允许的请求方式(比如，GET/POST或者只POST)
　　
　　*允许的Content-Type
　　
　　*允许的Content-Length
　　
　　*允许的参数
　　
　　*指定参数和可选参数
　　
　　*参数类型(比如，文本或整数)*附加参数限制
　　
　　上述列表仅仅是个例子，实际的积极安全模式通常包括更多的要素。它试图从外部完成程序员本应从内部完成的工作：为提交到Web应用的信息验证每一个比特。如果肯花时间的话，使用积极安全模式就是一个比较好的选择。这个模式的难点之一，在于应用模式会随着应用的发展而改变。每当应用中添加新脚本或更改旧脚本，就需要更新模式。但是，它适用于保护那些稳定的、无人维护的旧应用。
　　
　　自动开发策略可以解决以上问题：
　　
　　*一些WAF能够监视流量，并根据这些流量数据自动配置策略，有些产品可以实时进行这样的工作。
　　
　　*通过白名单，可以标识特定的IP地址是可信的，然后，依据观察的流量，配置WAF，更新安全策略。
　　
　　*如果通过一个全面的衰减测试，(仿真正确的行为，)来创建一个应用，并且在WAF处于监控状态时执行测试，那么WAF可以自动生成策略。
　　
　　可见，没有哪个模式是完全令人满意的。消极安全模式适用于处理已知问题，而积极安全模式则适用于稳定的Web应用。理想的做法是，在现实生活中，将二者结合使用，取长补短。