Web防火墙主要是对WEB特有的入侵方式具备防护能力，例如常见的DDoS防护、SQL注入等。由于都是属于应用层不是网络层的入侵。从技术上来看都是属于web IPS，而不是web防火墙。除了防御DDoS比较强势外，对SQL注入的防御能力也是比较强的，所以也会有人把这种防御方式叫做SQL防火墙。

　　Web防火墙产品部署在Web服务器的前面，串行接入，不仅在硬件性能上要求高，而且不能影响Web服务，所以HA功能、Bypass功能都是必须的，而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。

　　Web应用防火墙 (WAF) 代表了一种新的信息安全技术，用于保护Web站点（或者说Web应用程序），使其在受攻击的情况下表现出更强的抵抗力。 在抵御Web攻击方面，WAF提供了防火墙和IDS等常规信息安全产品所不具备的能力。WAF不需要修改Web应用程序的源代码。随着目前针对Web应用的攻击手段越来越复杂化，为WAF制定一个规范的评价标准显得重要起来，有了这个标准，我们就可以去准确地比较和评价WAF产品。

　　WEB防火墙的主要技术就是具备对入侵检测能力，尤其是对WEB服务入侵的检测，不同的厂家在技术上的差别是很大的，不能直接以厂家特征库的大小来进行衡量，主要还是得看测试效果的好坏。从厂家的技术特点来看，有以下几种方式：

　　1.代理识别

　　代理方式本身就属于一种安全网关，基于会话上的双向代理，中断用户与服务器的直接连接，适用于各种加密协议。这也是WEB在应用场景里比较常用的技术。代理方式有效防止了入侵者的直接进入，对DDoS攻击可以起到抑制的作用。

　　2.特征识别

　　通过识别出入侵者是有效防护的前提。特征就是攻击者的独特识别方式。每个软件、行为都是有自己的特有属性的，病毒与蠕虫的识别也是采用这种特征识别的方式来进行识别。

　　3.算法识别

　　在寻求新的方式的路上，人们慢慢发现了特征识别上的缺陷。对攻击类型进行归类，相同类的特征进行模式化，不再进行单个特征的比较。算法识别和模式识别的感觉是差不多的，但是算法识别对攻击者的攻击方式依赖性比较强。SQL注入、DDoS等都开发了相应的识别算法。算法识别是进行语义理解，而不是靠“长相”识别。

　　4.匹配模式

　　模式匹配是IDS中“古老”的技术，把攻击行为归纳成一定模式，匹配后能确定是入侵行为，当然模式的定义有很深的学问，各厂家都隐秘为“专利”。协议模式是其中简单的，是按标准协议的规程来定义模式;行为模式就复杂一些。

　　从安全角度来说，网业自学习技术与入侵防护如网盾高防产品结合使用，才是理想的选择。