由于WEB应用防火墙的多面性，拥有不同知识背景的人往往会关注它不同方面的特点。比如具有网络入侵检测背景的人更倾向于把它看作是运行在HTTP层上的 IDS设备;具有防火墙自身背景的人更趋向与把它看作一种防火墙的功能模块。还有一种理解来自于"深度检测防火墙"这个术语。他们认为深度检测防火墙是一种和Web应用防火墙功能相当的设备。然而，尽管两种设备有些相似之处，但是差异还是很大的。深度检测防火墙通常工作在的网络的第三层以及更高的层次，而 Web应用防火墙则在第七层处理HTTP服务并且很好地支持它。

直接更改WEB代码解决安全问题更好，这是毋庸置疑的，但也没那么容易(实现)。

因为，通过更改WEB应用代码是否一定就能增强系统安全性能，这本身就存在争论。而且现实也更加复杂:

* 不可能确保100%的安全。人的能力有限，会不可避免地犯错误。

* 绝大多数情况下，很少有人力求100%的安全。如今的现实生活中那些引领应用发展的人更多注重功能而不是安全。这种观念正在改变，只是有点缓慢。

* 一个复杂的系统通常包含第三方产品(组件，函数库)，它们的安全性能是不为人知的。如果这个产品的源代码是保密的，那么你必须依赖商品的厂商提供补丁。即使有些情况下源代码是公开的，你也不可能有精力去修正它们。

* 我们不得不使用存在安全隐患的业务系统，尽管这些旧系统根本无法改进。

因此，为了获得最好的效果，我们需要双管齐下:一方面，必须提高管理者和开发者的安全意识;另一方面，尽可能提高应用系统的安全性。