网络防火墙是防御网络周边环境的　安全顾问公司Cobweb Applications的创始人Michael Cobb说，WAF(Web应用防火墙)旨在保护Web应用程序避免受到跨站脚本攻击和SQL注入攻击等常见的威胁。网络防火墙是防御网络周边环境的，然而，WAF位于Web客户端和服务器之间，分析违反计划的安全政策的应用层通讯。

　　安全顾问公司Security Curve的创始人Diana Kelley说，虽然一些传统的防火墙提供了某种程度的应用程序熟悉能力，但是，传统防火墙没有WAF提供的那样精细和具体。例如，WAF能够检测一个应用程序是否按照它设计的方式工作，它能够让你编写具体的规则防止再次发生这种工具。

　　Gartner分析师Greg Young说，WAF与入侵防御系统不同。它是一个完全不同的技术，不是以特征为基础的，而是以行为为基础的，防止你自己意外制造的安全漏洞。

　　目前，WAF的主要推动因素之一是支付卡行业数据安全标准(PCI DSS)。这个标准定义两方面的遵守法规的情况：WAF和审查代码。但是，另一个推动因素是人们日益认识到攻击正在从网络向应用程序转移。在WhiteHat Security发表的研究报告中，82%的受访者至少有一个高度的、重要的或者紧迫的严重问题。WhiteHat Security从2006年1月至2008年12月评估了877个网站。

　　主要WAF属性Burton Group分析师Ramon Krikken说，Web应用防火墙市场仍然没有定义，这个市场中还有许多不一样的产品。许多产品提供的功能都超过了一般防火墙的功能。这使这类产品很难评估和对比。此外，新的厂商正在进入这个市场，把现有的非WAF产品扩展到集成的市场。

　　据研究和咨询公司Xiom的创始人Ofer Shezaf提供的一个列表，下面是WAF应该具有的属性：。深入理解HTTP.WAF需要更有效地全面地解析和分析HTTP.。提供一个积极的安全模式。积极的安全政策仅允许合法的通讯通过。有时候这叫作“白名单”，这个功能对应用程序提供一个外部输入验证层。。应用层规则。由于很高的维护成本，使用基于特征的系统应该会增强积极的安全模式。但是，由于Web应用程序是客户化编码的，传统的真对已知安全漏洞的特征是没有效的。WAF规则应该是普通的并且能够检测到SQL注入等任何攻击的变体。。基于会话的保护。HTTP最大的缺点之一是缺乏内置的可靠的会话机制。一个WAF必须辅助应用会话管理，保护它防止基于会话的攻击。。允许精细的政策管理。例外情况仅适应于极少部分应用程序。此外，误报会产生更大的安全漏洞。