咨询机构Security Curve创建人Diana Kelley说：“尽管一些传统的防火墙提供某种程度的应用意识，但它不具有WAF提供的颗粒度和专一性。”例如，WAF可以检测应用程序的行为是否像它设计的那样，WAF使用户能够编写特殊的规则来防止这些攻击再次发生。

　　WAF也与入侵检测系统不同。Gartner分析师Greg Young说：“它是一种非常不同的技术——它不是基于特征，它是基于行为的，它防止那些用户无意中制造的漏洞被利用。”

　　当前，推动WAF发展的主要因素之一是支付卡行业数据安全标准(PCI DSS)。这项标准规定了两种取得遵从性的途径：WAF和代码审查。但是，另一个推动因素是人们越来越意识到攻击目标由网络转向应用。WhiteHat Security进行的一项研究发现，82%的网站至少存在一个程度为高风险、危急或严重的问题。这项研究从2006年1月到2008年12月对877个网络进行了调查。

　　WAF的主要属性

　　Web应用防火墙市场仍没有得到明确的定义，许多不同的产品都归在了WAF的名下。Burton Group分析师Ramon Krikken说：“许多产品提供的功能超出了人们对防火墙的原有认识。此外，新厂商通过将已有的非WAF扩展为WAF集成产品，开始进入这个市场细分。”

　　根据研究咨询机构Xiom创建人Ofer Shezaf提供的清单，我们给出了以下WAF应当具备的属性：

　　※ 深入了解HTTP。WAF若要有效就必须完全解析和分析HTTP。

　　※ 提供正面的安全模型。正面的安全政策只允许被认为合法的传输流通过。这种有时叫做“白名单”的特性为应用提供外部输入确认保护。

　　※ 应用层规则。由于高性能成本，正面安全模型应当利用基于特征的系统来加强。但是由于Web应用是定制编码的，针对已知安全漏洞的传统特征不再有效。WAF规则应当普遍适用，能够检测攻击(如SQL注入)的变种。

　　※ 基于会话的保护。HTTP最大的缺点之一就是缺少内建的可靠会话机制。WAF必须弥补应用会话管理的不足，保护它免受基于会话的和长时间的攻击。

　　※ 提供细粒度的政策管理。例外应当只适用于应用的很小部分。否则，假报警将造成巨大的安全缝隙。

　　选择Web应用防火墙的标准

　　一个关注提高应用软件的安全性的开放社区――开放Web应用安全项目(OWASP)建议使用以下选择WAF的标准：

　　※ 非常少的误报警(即，永远应当允许授权的请求)。

　　※ 缺省(出厂配置)防御措施的强度。

　　※ 高性能和易于学习的模式。

　　※ 可以防御的安全漏洞的类型。

　　※ 将不同用户限制在他们在当前会话中所看到的东西的能力。

　　※ 配置防止特殊问题(如紧急补丁)的能力。

　　※ 形式：最好是硬件产品。