如今，Web应用程序变得越来越复杂，更是黑客非常感兴趣的目标。在谈到网络安全的话题时，我们总会讨论下一代防火墙与Web应用防火墙的区别。当已经拥有下一代防火墙（NGFW）时，为什么需要Web应用程序防火墙（WAF）？这篇文章为你仔细讲解两者区别，以帮助你找到适合自己的部署模式。
　　

　　Web 应用防火墙 (WAF) 的工作原理

　　WAF 通过过滤、监控和拦截恶意 HTTP 或 HTTPS 流量对 Web 应用的访问来保护您的 Web 应用，并能够阻止未经授权的数据离开应用。为此，WAF 需要遵守一套策略，帮助其确定哪些流量是恶意的，哪些流量是安全的。WAF 不拘泥于形式，是软件、设备，亦是即服务，策略可定制，部署也更加灵活。

　　Web应用防火墙与下一代防火墙的区别

　　Web 应用防火墙 (WAF) 的设计则专为保护应用层而生，旨在分析应用层上各 HTTP 或 HTTPS 请求。它通常会感知用户、会话和应用，了解其背后的 Web 应用及其提供的服务。正因如此，WAF 可以看作是用户和应用之间的中介，并会提前对往来于两者之前的通信进行分析。
　

　　下一代防火墙 (NGFW)则可以监控进入互联网的流量，覆盖网站、电子邮件账户和SaaS。简单地说，它是在保护用户（相对于 Web 应用）。NGFW将强制执行基于用户的策略，并为安全策略添加上下文，此外还添加了URL过滤、防病毒或防恶意软件等功能，并有可能添加自己的入侵防御系统 (IPS)。WAF是典型的反向代理（供服务器使用），而NGFW通常是正向代理（供浏览器等客户端使用）。
　　

　　如何更好地保护web应用？

　　随着企业应用架构的迁移，在用户端，防护不能仅仅针对Web应用，还需要增加针对API、机器人的防护，这就需要更新型的工具。作为一家提供多云应用安全和应用交付的公司，F5推出了Advanced WAF（API 安全——新一代WAF），即高级Web应用防火墙（Advanced Web Application Firewall），旨在通过领先的应用安全实力, 针对日趋复杂的应用威胁，为用户打造一体化的解决方案。值得关注的是，F5的解决方案可以帮助客户在不同应用架构、不同应用部署环境中提供一致性的高级安全防护效果。
　

　　总的来讲，无论是部署Web应用防火墙还是下一代防火墙，都要根据实际情况来判断。通过上述的分析，相信已经了解到，F5及其WAF解决方案具备快速且简单易用，能够在任何位置集成的特性，还能够满足企业在选择和运营WAF方面提出的必备条件，为企业的数字化转型护航。