基于阻止列表（负面安全模型）运行的 WAF 可防止已知攻击。将黑名单 WAF 想象为一名俱乐部保镖，被指示拒绝不符合着装要求的客人入场。相反，基于许可名单（积极安全模型）的 WAF 仅允许已预先批准的流量。这就像一个专属派对的保镖，他或她只承认名单上的人。阻止列表和许可列表都有其优点和缺点，这就是为什么许多 WAF 提供混合安全模型的原因，该模型实现了两者。

什么是基于网络、基于主机和基于云的 WAF？

WAF 可以通过以下三种不同方式中的一种来实现，每种方式都有自己的优点和缺点：

• 基于网络的 WAF 通常是基于硬件的。由于它们是在本地安装的，因此可以最大限度地减少延迟，但基于网络的 WAF 是最昂贵的选择，并且还需要物理设备的存储和维护。
• 基于主机的 WAF 可以完全集成到应用程序的软件中。该解决方案比基于网络的 WAF 成本更低，并提供更多的可定制性。基于主机的 WAF 的缺点是消耗本地服务器资源、实现复杂性和维护成本。这些组件通常需要工程时间，并且可能很昂贵。
• 基于云的 WAF 提供了一种非常易于实施且价格合理的选项；他们通常提供交钥匙安装，就像更改DNS以重定向流量一样简单。基于云的 WAF 还具有最低的前期成本，因为用户每月或每年为安全即服务付费。基于云的 WAF 还可以提供持续更新的解决方案，以抵御最新的威胁，而无需在用户端进行任何额外的工作或成本。基于云的 WAF 的缺点是用户将责任移交给第三方，因此 WAF 的某些功能对他们来说可能是一个黑匣子。（基于云的 WAF 是一种云防火墙）