WAF

WAFの特徴としては、従来のファイヤーウォールがネットワークレベルで管理していたことに対して、WAFはアプリケーションのレベルで管理を行う、といった点を挙げることができる。 WAFでは、プログラムに渡される入力内容などを直接に検査することによって、不正と見なされたアクセス要求を遮断するという仕組みが採用されている。 クライアントの操作するWebブラウザとWebサーバを仲介するかたちで存在し、ブラウザとの直接的なやり取りをWAFが受け持つ。 そのことによってSQLインジェクションやクロスサイトスクリプティング、強制ブラウジングといった要求に対して、「攻撃」と見なして拒絶することができる。 WAF以前の従来型ファイヤーウォールでは、おおむねルータと外部ネットワークとの間に設置され、通信プロトコルのレベルで通信の可不可を判断する仕組みが採用されている。 例えば「特定のIPアドレス以外は通信を遮断する」という設定で外部接続が拒否されるとか、あるいはポート番号ごとに、WWWに向けては80番ポートの転送制御、メールであれば25番ポートを制御する、といった設定がとられてきた。 ただし、こういったタイプの設定方法では、どのようなWebアプリケーション（インターネットサービス）が存在しているかを感知することもできなければ、通信そのものは通常のアクセスと同様である不正アクセスを遮断しきれないという問題があった。 すなわち、Webアプリケーションの脆弱性を狙った攻撃に対して従来型のファイヤーウォールは満足なセキュリティ効果を発揮することができなかったといえる。 WAFを導入することによって、Webアプリケーションへのセキュリティ対策は軽減され、Webアプリケーションの開発にかかるコストの削減を図ることができるとされる。