从逻辑部署位置看：

　　1、 网络防火墙部署在网络出口处;

　　2、 WEB防火墙(WAF)部署在WEB服务器之前，网络防火墙之后;

　　3、 数据库防火墙(DBFW)部署在数据库服务器之前，WEB服务器之后。

　　从各自发挥的作用来看：

　　1、 网络防火墙主要从网络层进行安全防护;

　　2、 WEB防火墙通过对应用层的web协议解析进行防护，侧重对WEB服务器的各种非法操作行为;

　　3、 数据库防火墙(DBFW)通过对应用层的数据库通讯协议解析进行防护，控制针对数据库服务器的各种非法行为。

　　下面用一个简单的例子来说明数据库防火墙(DBFW)的功能特性。假设有这样一个数据库泄露事件：一名拥有数据库用户名、密码的黑客要从外网进入内网导出数据库中所有数据并公布大众。

　　首先，这个连接会通过网络防火墙，网络防火墙根据五元组(源IP、源端口、目的IP、目的端口、协议)分析，这个连接是很正常的一个访问数据库的连接，网络防火墙会将此连接放行;然后，这个连接到了web防火墙的位置，web防火墙检测到这个连接的目的端口和协议不是针对web服务器的，也会将此连接放行;这样这个连接就到了数据库的门口。如果没有数据库防火墙，因为这个连接中携带着正确的数据库用户名及密码，这个连接可以正常访问数据库，并且读取数据库中的所有数据，数据泄露在劫难逃，造成的后果不堪设想;而当我们在数据库门前放上一台数据库防火墙时，这一切全都变了。当这个连接到了数据库的门口，数据库防火墙会检测这个用户是否可以访问数据库、可以访问数据库中的哪张表、在读取数据库中数据的时候能读出来几行、有没有增、删、改、查数据的权限等，从而防止这个用户在数据库中为所欲为，将可能出现的数据泄露事件扼杀在萌芽状态，防止对企业、对个人造成不良影响。

　　通过上面的例子我们可以看到，数据库防火墙(DBFW)这种产品，它的工作方式、工作内容、保护内容都与数据库审计、与传统的网络防火墙、与WEB防火墙不尽相同。大家从上面的例子也基本可以了解到这种产品的核心功能及与众不同的特点。

　　数据库防火墙(DBFW)，是一种通过对于数据库通讯协议的分析而衍生出的一种数据库的访问控制类系统。数据库防火墙(DBFW)有多种工作模式，在串联模式下可具有SQL注入防护、数据库访问权限控制、数据库虚拟补丁防护等功能，当并联在网络中时又具备传统数据库审计的能力。它串联在网络中与并联在网络中实现的不同功能的异同点相当于传统网络安全中IPS(入侵防御系统)和IDS(入侵检测系统)的区别。通俗的讲，数据库防火墙(DBFW)系统能够通过对数据库通讯协议的分析而实现对数据库的权限访问控制、SQL防火墙功能，并且具备数据库审计能力。