问：Web应用防火墙似乎对防御应用攻击很有效，但是我知道有些人犹豫是否安装。Web应用防火墙有什么缺点呢？
   
　　答：Web应用防火墙的主要缺点是成本和性能。性能通常都是问题，因为这些工具检查应用层的所有入站和出站流量。尽管如此，这种级别的检查通常被称为深度信息包检测，它检查信息包的实际有效负载，并提供比传统的包过滤防火墙更好的内容过滤功能。应用层放火强允许或者拒绝的决定可以基于每个包中的具体内容。他们可以允许或者拒绝某个应用程序或者应用程序的某个功能，提供深度的粒度控制（granular control）。这种防火墙也可以直接鉴别用户。这就是说，例如，他们可以允许或拒绝某个用户的特定引入命令。

　　深度包检测的数据也提供有价值的日志信息，这些信息有助于安全时间或者策略的实施。

　　当防火墙读取并解释每个包时，这个工具必须消耗CPU生命。检测的过程因此也比传统的包过滤防火墙要长，也会降低网络性能。

　　应用防火墙的另一个缺陷是每个协议，例如HTTP、SMTP等，都要求自己的代理应用程序，并支持新的网络应用程序，协议可以别限制或者降低出现的机会。虽然大部分的防火墙厂商提供一般代理，支持不确定的网络协议和应用程序，这次代理只是简单的允许流量通过防火墙，否决了很多首先采用应用防火墙的理由。

　　这些防火墙越来越复杂，也越昂贵，特别是和对网络性能影响极小的包过滤防火墙相比，并且包过滤防火墙是应用独立的。最后，和任何新设备一样，Web应用防火的安装、配置和培训都需要评定。

　　很容易理解为什么有些人在配置应用防火墙时犹豫，特别是如果考虑到了时间和预算限制。尽管如此，在敌对环境中运行Web应用，应用防火墙的附加保护就几乎成为强制的了。因此，我想要明确防火墙的需要是为什么，因为这将决定所需要的功能。在选择防火墙的时候，回答下面这些问题：

• 防火墙需要做什么？
• 什么样的附加服务有价值？
• 它们将如何适应现有网络?
• 他们如何影响现有的服务和用户？

　　理解不用类型的Web应用攻击的执行方式对训练很有帮助。如果你在防火墙上的经验不足，容易安装和配置就成为了选择防火墙是的重要因素。还有，要提到在安装时厂商可能提供的支持级别，以及在防火墙的配置周期。