PCI DSS法規(guī)本身給WAF產(chǎn)品陸續(xù)的發(fā)展產(chǎn)生了持續(xù)、強(qiáng)大的驅(qū)動(dòng)力，而Web應(yīng)用本身的蓬勃發(fā)展也讓安全主戰(zhàn)場(chǎng)逐漸向Web應(yīng)用層過(guò)渡，于是，各個(gè)安全廠商紛紛推出WAF產(chǎn)品，以便盡快搶占市場(chǎng)份額。因此，盡管同是Web應(yīng)用防火墻，但WAF和WAF也是有差別的。

IPS變身WAF：基于被動(dòng)特征庫(kù)

Web應(yīng)用防火墻中，有一部分由IPS轉(zhuǎn)變而來(lái)的。這類WAF產(chǎn)品在IPS的特征庫(kù)防御技術(shù)基礎(chǔ)上增加了主動(dòng)防御模式，從而實(shí)現(xiàn)Web應(yīng)用安全，產(chǎn)品容易開發(fā)，也很容易切入市場(chǎng)。

然而，IPS本身基于特征庫(kù)的特性，使得這類Web應(yīng)用防火墻對(duì)于很多威脅的防范是無(wú)能為力的。而且，盡管其中增加了主動(dòng)防御能力，但通常做得不夠深入。

軟件WAF：增加負(fù)擔(dān)還受限制

還有一類Web應(yīng)用防火墻，采用的是純粹的軟件形式，需要嵌入到Web應(yīng)用服務(wù)器里。

這種類型的WAF，具備軟件產(chǎn)品通常的優(yōu)勢(shì)，安裝簡(jiǎn)單，只需安裝在Web應(yīng)用服務(wù)器上，用戶無(wú)需單獨(dú)采購(gòu)硬件，因此采購(gòu)成本相對(duì)較低。

但因?yàn)樾枰惭b在Web應(yīng)用服務(wù)器上，毫無(wú)疑問(wèn)會(huì)增加服務(wù)器的負(fù)擔(dān)，而且還要考慮到軟件的兼容性問(wèn)題，很多功能也因此受到限制，因此很難實(shí)現(xiàn)完整的Web安全防護(hù)。

真正的WAF：安全與性能的統(tǒng)一

十年磨一劍，劍才是真正的好劍。一款真正的Web應(yīng)用防火墻，應(yīng)該是為了Web應(yīng)用安全而專門開發(fā)的產(chǎn)品，應(yīng)該是安全和性能的真正統(tǒng)一。

例如梭子魚Web應(yīng)用防火墻就是一個(gè)完整的WAF產(chǎn)品。與傳統(tǒng)網(wǎng)絡(luò)防火墻的低層處理機(jī)制以及與IPS對(duì)于HTTP、HTTPS和FTP流量的簡(jiǎn)單操作相比，梭子魚應(yīng)用防火墻則對(duì)HTTP流量進(jìn)行代理，并全面掃描7層數(shù)據(jù)，確保攻擊在到達(dá)Web服務(wù)器之前就將其阻斷。

梭子魚Web應(yīng)用防火墻能夠完全獲取和管理Web應(yīng)用過(guò)程中進(jìn)與出的每一個(gè)事務(wù)，同時(shí)也是一款高性能，雙向HTTP代理設(shè)備，允許系統(tǒng)管理員針對(duì)每一個(gè)應(yīng)用的每一個(gè)會(huì)話指定精確的安全，內(nèi)容和流量的規(guī)則。

而且，梭子魚Web應(yīng)用防火墻的主動(dòng)防御功能做的非常好，通過(guò)對(duì)Web應(yīng)用機(jī)理的分析，可以對(duì)HTTP流量進(jìn)行完整的安全掃描，及時(shí)發(fā)現(xiàn)異常的使用模式并阻止目前未知的攻擊方法。例如，通常Web應(yīng)用程序與Web客戶端的信息交流數(shù)量是有限的，如果檢測(cè)到Web服務(wù)器正在返回一個(gè)比預(yù)期大很多的數(shù)據(jù)量，它就會(huì)及時(shí)切斷傳輸，以防止更多的數(shù)據(jù)泄露。

與此同時(shí)，梭子魚Web應(yīng)用防火墻也提供了基于特征庫(kù)的防御能力。這是因?yàn)樗笞郁~追求的是讓用戶獲得真正的安全，而不是概念本身：既然已經(jīng)知道它就是攻擊，可以通過(guò)特征庫(kù)更快地發(fā)現(xiàn)并攔截攻擊，就沒(méi)有必要再通過(guò)主動(dòng)防御功能，在消耗大量資源的基礎(chǔ)上，再給它下"這就是攻擊"的結(jié)論。