WAF不用於傳統的防火牆，不止針對一些底層（網路層和傳輸層）的資訊進行阻斷，而是會深入到應用層，對所有資訊進行保護。web應用防火牆是通過檢測客戶端和應用服務之間的請求和響應內容來實現的。所以說，防火牆什麼時候能檢測，如何檢測以及檢測什麼就變得很重要。

檢測什麼將決定其響應能力，WAF應該能夠檢測請求/響應物件的所有組建，包括會話詳細呢絨。如果應用有要求，例如限制使用者會話數量，大多數WAF可以幫助實現。WAF應該提供可用的配置讓管理員來輕鬆選擇這些選項，如果企業對GET與POST如何使用有具體要求，或者對訪問者進入網站的途徑有特定要求，web應用防火牆應該提供支援。

檢測異常或惡意流量主要是基於一下幾個模型，瞭解每個模型也很重要。

第一，如果WAF採用黑名單做法，它只會阻止列表中包含已知攻擊的請求。中所周知的攻擊（拒絕服務攻擊和跨站指令碼）通常包含容易檢測的某些字元。黑名單很好用，只要WAF支援這種攻擊方法。並且，由於威脅經常變化，必須保持黑名單的更新。

其二，如果WAF使用白名單的做法，它只會允許滿足列表或配置中標準呢的請求。這種檢測方法需要部署期間前端的更多工作，但通常這是更安全的方法，因為它會阻止一切沒有定義為可接收的事物。這兩種方法都應該由企業的技術團隊來配置。

另外，WAF如何響應攻擊或異常也很關鍵。WAF提供多種響應選項，這些選項在配置介面容易變更。通常情況下，WAF會以某種方式與請求會話進行互動，例如終止與應用伺服器的會話或阻止單個請求。每種方法都有優點和缺點，對於企業來說，瞭解哪些方法可行很重要。