WAF和防火墙有什么不同之处？

　　防火墙和Web利用程序防火墙(WAF)是信息安全架构中两个重要的安全装备。虽然它们都有类似的目标，但它们处理的安全要挟不同，技术实现也不同。下面将详细介绍WAF和防火墙的区分。

　　首先，防火墙可以被简单地定义为物理或软件装备，作为网络边界的限制，它根据安全策略谢绝或允许流量。通俗地说，防火墙是禁止坏东西进入你的服务器的关卡。它可以检查入站和出站流量，并在基于策略的配置下决定是否是允许特定流量通过。防火墙主要关心的是网络层面的要挟，比如黑客攻击、病毒和蠕虫等，但对利用层面的要挟防御力比较有限。

　　而WAF则是专门针对HTTP/HTTPS流量进行过滤的装备。它提供了基于HTTP协议的利用层防御，可以检测SQL注入、跨站点脚本(XSS)攻击、文件上传漏洞等常见的Web攻击。WAF可以在利用程序之前精确的检测Web流量，所以可以防范防火墙没法防御的攻击。而防火墙可以工作在不同的层面，其中一些也能够检测利用程序和Web流量的特定要挟。

　　另外，防火墙和WAF是可以配合使用的，而不是相互排挤的。由于防火墙可以工作在比WAF更早的阶段，它可以避免一些无用流量到达WAF，从而减少WAF的负担。而WAF更重要地避免了原始入侵攻击，对利用层次的攻击防护功能更强大，并且可以辨认和禁止特定的利用程序要求。二者结合使用可以提高安全性。

　　在最近的几年里，WAF已成为传统防火墙的标配，愈来愈多的企业正在使用WAF以保护利用程序和Web。WAF是为Web利用程序安全而生的，它有不同的优点，但也有一些缺点，如误报和漏洞。不管如何，选择WAF或防火墙，这取决于企业安全策略和需求。