这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。

当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。保护用户访问者的访问安全。一些WAF能够监视流量，并根据这些流量数据自动配置策略，有些产品可以实时进行这样的工作。通过白名单，可以标识特定的IP地址是可信的，然后，依据观察的流量，配置WAF，更新安全策略。如果通过一个全面的衰减测试，（仿真正确的行为，）来创建一个应用，并且在WAF处于监控状态时执行测试，那么WAF可以自动生成策略。

用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。解决大多数企业内部互联中广播域安全问题。允许已知安全的流量，拒绝其他一切访问。这就是一种很好的积极安全模型。恰恰相反，消极安全模型则是默认允许一切访问，只拒绝一些已知危险的流量模式。识别出一种危险的模式并且配置自己的系统禁止它。这个操作简单而有趣，却不十分安全。

用来截获所有HTTP数据或者仅仅满足某些规则的会话。web防火墙保护网站数据安全，起到过滤审计作用.解决上述问题的正确方法，就是在服务端进行输入验证。如果这个方法不能实现，还可以通过在客户和应用服务器之间增加代理，让代理去执行Web页面上嵌入的JavaScript，实现输入验证。增强验证功能！