PCI DSS法規(guī)本身給WAF產(chǎn)品陸續(xù)的發(fā)展產(chǎn)生了持續(xù)、強大的驅(qū)動力，而Web應(yīng)用本身的蓬勃發(fā)展也讓安全主戰(zhàn)場逐漸向Web應(yīng)用層過渡，于是，各個安全廠商紛紛推出WAF產(chǎn)品，以便盡快搶占市場份額。因此，盡管同是Web應(yīng)用防火墻，但WAF和WAF也是有差別的。

IPS變身WAF：基于被動特征庫

Web應(yīng)用防火墻中，有一部分由IPS轉(zhuǎn)變而來的。這類WAF產(chǎn)品在IPS的特征庫防御技術(shù)基礎(chǔ)上增加了主動防御模式，從而實現(xiàn)Web應(yīng)用安全，產(chǎn)品容易開發(fā)，也很容易切入市場。

然而，IPS本身基于特征庫的特性，使得這類Web應(yīng)用防火墻對于很多威脅的防范是無能為力的。而且，盡管其中增加了主動防御能力，但通常做得不夠深入。

軟件WAF：增加負擔(dān)還受限制

還有一類Web應(yīng)用防火墻，采用的是純粹的軟件形式，需要嵌入到Web應(yīng)用服務(wù)器里。

這種類型的WAF，具備軟件產(chǎn)品通常的優(yōu)勢，安裝簡單，只需安裝在Web應(yīng)用服務(wù)器上，用戶無需單獨采購硬件，因此采購成本相對較低。

但因為需要安裝在Web應(yīng)用服務(wù)器上，毫無疑問會增加服務(wù)器的負擔(dān)，而且還要考慮到軟件的兼容性問題，很多功能也因此受到限制，因此很難實現(xiàn)完整的Web安全防護。

真正的WAF：安全與性能的統(tǒng)一

十年磨一劍，劍才是真正的好劍。一款真正的Web應(yīng)用防火墻，應(yīng)該是為了Web應(yīng)用安全而專門開發(fā)的產(chǎn)品，應(yīng)該是安全和性能的真正統(tǒng)一。

例如梭子魚Web應(yīng)用防火墻就是一個完整的WAF產(chǎn)品。與傳統(tǒng)網(wǎng)絡(luò)防火墻的低層處理機制以及與IPS對于HTTP、HTTPS和FTP流量的簡單操作相比，梭子魚應(yīng)用防火墻則對HTTP流量進行代理，并全面掃描7層數(shù)據(jù)，確保攻擊在到達Web服務(wù)器之前就將其阻斷。

梭子魚Web應(yīng)用防火墻能夠完全獲取和管理Web應(yīng)用過程中進與出的每一個事務(wù)，同時也是一款高性能，雙向HTTP代理設(shè)備，允許系統(tǒng)管理員針對每一個應(yīng)用的每一個會話指定精確的安全，內(nèi)容和流量的規(guī)則。

而且，梭子魚Web應(yīng)用防火墻的主動防御功能做的非常好，通過對Web應(yīng)用機理的分析，可以對HTTP流量進行完整的安全掃描，及時發(fā)現(xiàn)異常的使用模式并阻止目前未知的攻擊方法。例如，通常Web應(yīng)用程序與Web客戶端的信息交流數(shù)量是有限的，如果檢測到Web服務(wù)器正在返回一個比預(yù)期大很多的數(shù)據(jù)量，它就會及時切斷傳輸，以防止更多的數(shù)據(jù)泄露。

與此同時，梭子魚Web應(yīng)用防火墻也提供了基于特征庫的防御能力。這是因為梭子魚追求的是讓用戶獲得真正的安全，而不是概念本身：既然已經(jīng)知道它就是攻擊，可以通過特征庫更快地發(fā)現(xiàn)并攔截攻擊，就沒有必要再通過主動防御功能，在消耗大量資源的基礎(chǔ)上，再給它下"這就是攻擊"的結(jié)論。