PCI DSS法規本身給WAF產品陸續的發展產生了持續、強大的驅動力，而Web應用本身的蓬勃發展也讓安全主戰場逐漸向Web應用層過渡，于是，各個安全廠商紛紛推出WAF產品，以便盡快搶占市場份額。因此，盡管同是Web應用防火墻，但WAF和WAF也是有差別的。

IPS變身WAF：基于被動特征庫

Web應用防火墻中，有一部分由IPS轉變而來的。這類WAF產品在IPS的特征庫防御技術基礎上增加了主動防御模式，從而實現Web應用安全，產品容易開發，也很容易切入市場。

然而，IPS本身基于特征庫的特性，使得這類Web應用防火墻對于很多威脅的防范是無能為力的。而且，盡管其中增加了主動防御能力，但通常做得不夠深入。

軟件WAF：增加負擔還受限制

還有一類Web應用防火墻，采用的是純粹的軟件形式，需要嵌入到Web應用服務器里。

這種類型的WAF，具備軟件產品通常的優勢，安裝簡單，只需安裝在Web應用服務器上，用戶無需單獨采購硬件，因此采購成本相對較低。

但因為需要安裝在Web應用服務器上，毫無疑問會增加服務器的負擔，而且還要考慮到軟件的兼容性問題，很多功能也因此受到限制，因此很難實現完整的Web安全防護。

真正的WAF：安全與性能的統一

十年磨一劍，劍才是真正的好劍。一款真正的Web應用防火墻，應該是為了Web應用安全而專門開發的產品，應該是安全和性能的真正統一。

例如梭子魚Web應用防火墻就是一個完整的WAF產品。與傳統網絡防火墻的低層處理機制以及與IPS對于HTTP、HTTPS和FTP流量的簡單操作相比，梭子魚應用防火墻則對HTTP流量進行代理，并全面掃描7層數據，確保攻擊在到達Web服務器之前就將其阻斷。

梭子魚Web應用防火墻能夠完全獲取和管理Web應用過程中進與出的每一個事務，同時也是一款高性能，雙向HTTP代理設備，允許系統管理員針對每一個應用的每一個會話指定精確的安全，內容和流量的規則。

而且，梭子魚Web應用防火墻的主動防御功能做的非常好，通過對Web應用機理的分析，可以對HTTP流量進行完整的安全掃描，及時發現異常的使用模式并阻止目前未知的攻擊方法。例如，通常Web應用程序與Web客戶端的信息交流數量是有限的，如果檢測到Web服務器正在返回一個比預期大很多的數據量，它就會及時切斷傳輸，以防止更多的數據泄露。

與此同時，梭子魚Web應用防火墻也提供了基于特征庫的防御能力。這是因為梭子魚追求的是讓用戶獲得真正的安全，而不是概念本身：既然已經知道它就是攻擊，可以通過特征庫更快地發現并攔截攻擊，就沒有必要再通過主動防御功能，在消耗大量資源的基礎上，再給它下"這就是攻擊"的結論。