如今，Web应用程序变得越来越复杂，更是黑客非常感兴趣的目标。在谈到网络安全的话题时，我们总会讨论下一代防火墙与Web应用防火墙的区别。当已经拥有下一代防火墙（NGFW）时，为什么需要Web应用程序防火墙（WAF）？这篇文章为你讲解两者区别，以帮助你降低成本、改善运营，打造更好的用户体验。
　　

　　Web应用防火墙 (WAF) 的工作原理

　　Web应用防火墙 (WAF) 是保护Web应用的必要措施。如今，WAF需要在部署环境不断扩展但人员技能有限的情况下，保护数量日益增长的应用。如今，多云环境、API安全功能扩展、合作伙伴集成即时可用、可用性和可视化增强以及提高自动化程度已经成为基本要求。WAF应可按需（通过UI或基础设施即代码）进行配置和管理，可在任何环境中采用正确的控制措施，并通过威胁情报改进分析和自动化。

　　Web应用防火墙vs下一代防火墙

　　Web应用防火墙 (WAF) 的设计则专为保护应用层而生，旨在分析应用层上各HTTP或 HTTPS请求。它通常会感知用户、会话和应用，了解其背后的Web 应用及其提供的服务。正因如此，WAF 可以看作是用户和应用之间的中介，并会提前对往来于两者之前的通信进行分析，是应用值得信赖的第一道防线。
　　

　　下一代防火墙 (NGFW)则可以监控进入互联网的流量，覆盖网站、电子邮件账户和SaaS。简单地说，相对于Web应用而言，它是在保护用户。NGFW将强制执行基于用户的策略，并为安全策略添加上下文，此外还添加了URL过滤、防病毒或防恶意软件等功能，并有可能添加自己的入侵防御系统 (IPS)。WAF是典型的反向代理（供服务器使用），而NGFW通常是正向代理（供浏览器等客户端使用）。
　　

　　如何更好地保护web应用？

　　随着企业应用架构的迁移，在用户端，防护不能仅仅针对Web应用，还需要增加针对API、机器人的防护，这就需要更新型的工具。作为一家提供多云应用安全和应用交付的公司，F5推出了Advanced WAF（API 安全——新一代WAF），即高级Web应用防火墙（Advanced Web Application Firewall），旨在通过领先的应用安全实力, 针对日趋复杂的应用威胁，为用户打造一体化的解决方案。值得关注的是，F5的解决方案可以帮助客户在不同应用架构、不同应用部署环境中提供一致性的高级安全防护效果。
　

　　无论是部署Web应用防火墙还是下一代防火墙，都要根据实际情况来判断。通过上述的分析，不难了解到，F5及其WAF解决方案具备快速且简单易用，能够在任何位置集成的特性，多种灵活部署与管理选项，运行于高性能硬件之上，以保护你的应用。