WAF與網路防火牆的區別

傳統的安全方法包括網路防火牆，入侵檢測系統（IDS）和入侵防禦系統（IPS）。它們可有效阻止開放系統互連（OSI）模型下端（L3-L4）周邊的不良L3-L4流量。

       WAF稱為網站應用級入侵防禦系統或Web應用防火牆，是透過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

        網路防火牆是一種用來加強網路之間訪問控制的特殊網路互聯裝置。計算機流入流出的所有網路通訊均要經過此防火牆。防火牆對流經它的網路通訊進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通訊，封鎖木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通訊。

       網路防火牆作為訪問控制裝置，主要工作在OSI模型三、四層，基於IP報文進行檢測。只是對埠做限制，對TCP協議做封堵。其產品設計無需理解HTTP會話，也就決定了無法理解Web應用程式語言如HTML、SQL語言。因此，它不可能對HTTP通訊進行輸入驗證或攻擊規則分析。針對Web網站的惡意攻擊絕大部分都將封裝為HTTP請求，從80或443埠順利透過防火牆檢測。一些定位比較綜合、提供豐富功能的防火牆，也具備一定程度的應用層防禦能力，如能根據TCP會話異常性及攻擊特徵阻止網路層的攻擊，透過IP分拆和組合也能判斷是否有攻擊隱藏在多個資料包中，但從根本上說他仍然無法理解HTTP會話，難以應對如SQL隱碼攻擊、跨站指令碼、cookie竊取、網頁篡改等應用層攻擊。

       Web應用防火牆能在應用層理解分析HTTP會話，因此能有效的防止各類應用層攻擊，同時他向下相容，具備網路防火牆的功能。

      傳統防火牆可保護伺服器之間的資訊流，而Web應用程式防火牆則能夠過濾特定Web應用程式的流量。網路防火牆和Web應用程式防火牆是互補的，可以協同工作。