Web应用防火墙被部署在Web应用程序前面 ， 在用户请求到达Web服务器前对用户请求进行扫描和过滤 ， Web应用防火墙分析并校验每个用户请求的网络包 ， 会记录黑客攻击样本库及漏洞情况 ， 使用数千台防御设备和骨干网络以及安全替身、攻击溯源等前沿技术 ， 确保每个用户请求有效且安全 ， 构建网站应用级入侵防御系统 ， 对无效或有攻击行为的请求进行阻断或隔离 ， 解决网页篡改、数据泄露和访问不稳定等异常问题 ， 保障网站数据安全性和应用程序可用性 。 Web防火墙的出现解决了传统防火墙无法解决的针对应用层的攻击问题 。
选择什么样的防火墙？
我们从上面的分析和叙述中可以看出 ， 传统防火墙只是针对一些底层（网络层、传输层）的信息进行阻断 ， 而Web应用防火墙则深入到应用层 ， 对所有应用信息进行过滤 ， 解决了传统防火墙无法解决的应用层防护问题 ， 并提供了以下功能：
攻击防护：智能识别Web系统服务状态 ， 实时在线优化防御规则库、分发虚拟补丁程序 ， 提供持续的安全防御支持 。 数千台防御设备 ， 数百GB海量带宽和内部高速传输网络 ， 实时有效抵御各类DDoS攻击、CC攻击 。
安全替身：通过前沿的安全替身技术 ， 虚拟补丁服务 ， 采用主动发现、协同防御的方式将Web安全问题化于无形 。 即使在极端情况下 ， Web系统被入侵 ， 甚至被完全破坏 ， 也能重新构造安全内容 ， 以保障系统正常服务 。
攻击溯源：现有全球30万黑客档案库及漏洞情况服务中心 ， 对攻击进行实时拦截、联动动态分析 。 通过百亿日志的大数据分析追溯攻击人员和事件 ， 并利用“反向APT”技术完善黑客档案库 ， 为攻击取证提供详尽依据 。
登录安全：通过对登录过程中失败的用户名、密码、登录频率和登录后地域变化等多因素进行关联判断 ， 从而实现Web系统登录安全 。
不断迭代的Web应用防火墙将具备更强大的能力 ， 比如：网页源码加密、防扫描、防自动化攻击、防暴力破解、防撞库、防嗅探等等 。
Web安全需求的复杂性
从广义上来说 ， Web应用防火墙就是应用级的网站安全综合解决方案 ， 但难以界定 ， 因为是这个名称包含的东西太多了 ， 如果我们要深究它精确的定义 ， 就可能会得到更多的疑问 。 因为一些Web应用防火墙是硬件设备 ， 一些则是应用软件；一些是基于网络的 ， 另一些则是嵌入WEB服务器的 。 而拥有不同知识背景的人往往会关注它不同方面的特点 。 比如具有网络入侵检测背景的人更倾向于把它看作是运行在HTTP层上的IDS设备；具有防火墙从业背景的人更趋向于把它看作一种防火墙的功能模块 。 还有一种理解来自于“深度检测防火墙”这个术语 。 他们认为深度检测防火墙是一种和Web应用防火墙功能相当的设备 。 然而 ， 尽管两种设备有些相似之处 ， 但是差异还是很大的 。 深度检测防火墙通常工作在网络的第三层以及更高的层次 ， 而Web应用防火墙则在第七层处理HTTP服务并且很好地支持它 。
从技术角度看 ， 直接更改Web代码解决安全问题更好 ， 这是毋庸置疑的 ， 但也没那么容易（实现） 。 因为 ， 通过更改WEB应用代码是否一定就能增强系统安全性能 ， 这本身就存在争论 。 而且现实也更加复杂：
1、不可能确保100%的安全 。 人的能力有限 ， 会不可避免地犯错误 。
2、绝大多数情况下 ， 很少有人力求100%的安全 。 如今的现实生活中那些引领应用发展的人更多注重功能而不是安全 。 这种观念正在改变 ， 只是有点缓慢 。
3、一个复杂的系统通常包含第三方产品（组件 ， 函数库） ， 它们的安全性能是不为人知的 。 如果这个产品的源代码是保密的 ， 那么你必须依赖商品的厂商提供补丁 。 即使有些情况下源代码是公开的 ， 你也不可能有精力去修正它们 。
4、我们不得不使用存在安全隐患的业务系统 ， 尽管这些旧系统根本无法改进 。

• 舵海宏盘|也敢炒股？到底是谁给你的勇气？，中国股市：不懂集合竞价
• 交易|中国股市：不懂集合竞价，也敢炒股？到底是谁给你的勇气？
• 金角财经|红牛谋杀红牛
• 上海宝山|冷空气在路上了 你的厚衣服准备好了吗
• 长城24小时|“我是你的眼，带你去旅行”！我们带你“触摸”旅途中的幸福！
• 白小白的衣橱|收起你的西装吧，今秋更流行“大两号”风衣，照着穿秒变酷帅潮人
• 正北方|OFFIY有帆职业女装，穿出你的个性和气场
• 追狐狸的人呐|电竞人物志：一个字典里没有后退的男人，不鸣则已，一鸣惊人年轻的饮水机管理员翻过这座山，他们就会听到你的故事他是用剑的艺术家
• 早晚刷牙都不能拯救你的牙齿?试试美的电动牙刷&美的冲牙器组合
• 街拍|街拍：小姐姐能吸引你的是什么地方，老实回答？