开放式Web应用程序安全项目(OWASP)是一个侧重于促进应用软件安全发展的开发式非营利性组织，OWASP建议在选择Web应用防火墙时应该参照一下标准：　　

1、很少出现误报(例如，不应该拒绝授权请求等)　

2、默认防御的强度　　

3、容易操作模式　　

4、可以预防的漏洞类型　　

5、能够限制个人用户只能在当前对话中所看到的内容　　

6、配置预防特定问题的能力，如紧急补丁等　　

7、WAF提供形式：软件与硬件(一般偏好硬件)　　Web应用防火墙主要需要考虑的问题　　

8、WAF与源代码扫描的比较

　　WAF能够实时保护应用程序，而不是修复漏洞，这在过去一直受到大家的批评。有些供应商甚至避免使用“WAF”字眼，而是采用“应用层意识”或者“应用层智能”来形容他们的产品。然而，现在越来越普遍的共识是，只有通过正确的部署，WAF才可以作为多层安全模型中重要的组成部分，因为WAF可以在修复应用程序漏洞的时候提供保护。
　　笔者曾与安全设备提供商交流中表示，应用程序中存在太多漏洞，根本来不及修复代码本身，并建议通过评估发现的漏洞应该作为自定义规则嵌入WAF中，这样就能够减轻目前的状况并能过后再修复问题。
　　另一方面，安全公司建议客户考虑采用消除应用程序漏洞的技术，“在你花钱购买设备之前，应该考虑一下，能否通过更强大的系统开发生命周期来消除漏洞，或者通过使用其他工具，如源代码扫描器。”
　　对于大多数企业而言，采用其中任意一种方法就足够了，虽然对于应用安全需求很好的金融或内源用户而言，笔者认为综合的安全保护措施不失为更好的选择。