上一节提到的WAF对Https的加解密和多重编码方式的解码正是由于报文必须经过应用层协议栈处理。反之，IPS为什么做不到?是由于其自身的桥模式架构，把Http会话”打碎“成多个数据包在网络层分析，而不能完整地从应用层角度来处理和组合多个报文，并且应用层协议繁多，全部去支持也是不现实的，产品的定位并不需要这样。下一节的学习模式更是两者的截然不同的防护机制，而这一机制也是有赖于WAF的产品架构。

　　基于学习的主动模式

　　在前面谈到IPS的安全模型是应用了静态签名的被动模式，那么反之就是主动模式。WAF的防御模型是两者都支持的，所谓主动模式在于WAF是一个有效验证输入的设备，所有数据流都被校验后再转发给服务器，能增加应用层逻辑组合的规则，更重要的是具备对Web应用程序的主动学习功能。

　　学习功能包括：

　　1. 监控和学习进出的Web流量，学习链接参数类型和长度、form参数类型和长度等;

　　2. 爬虫功能，爬虫主动去分析整个Web站点，并建立正常状态模型;

　　3. 扫描功能，主动去扫描并根据结果生成防护规则。

　　基于学习的主动模式目的是为了建立一个安全防护模型，一旦行为有差异则可以发现，比如隐藏的表单、限制型的Listbox值是否被篡改、输入的参数类型不合法等，这样在面对多变的攻击手法和未知的攻击类型时能依靠安全防护模型动态调整防护策略。

　　结尾

　　WAF更多的特性，包括安全交付能力、基于cache的应用加速、挂马检查、抗DDOS攻击、符合PCIDSS的防泄密要求等都表明这是一款不仅能攻击防护，同时又必须在满足客户体验和机密数据防护的高度集成的专业产品。本文仅从产品特征的对比角度来分析了WAF的部分技术原理，但没否定IPS的价值，毕竟两者在部署场景和功能上具有很大差异。