現在入手できるWAF（Webアプリケーションファイアウォール）製品には、アプライアンスとソフトウェアの2つの製品タイプがある。アプライアンスタイプはファイアウォールとWebサーバーの間に設置し、次のような特長を持つ。

＜アプライアンスの特長＞
・Webサーバーの動作環境（プラットフォーム）に依存しない
・Webサーバーの台数に依存しない
・ネットワーク構成の変更が必要になる

一方、ソフトウェアタイプはWebサーバー上にインストールし、次のような特長を持つ。

＜ソフトウェアの特長＞
・Webサーバーの動作環境（プラットフォーム）に依存する。
・Webサーバーごとに導入する必要がある
・ネットワーク構成を見直す必要がない
・WebサーバーがHTTPS通信を処理するため、WAF側で対応しなくてもHTTPS通信を検査できる

従って、両者の特性を考慮したうえで、どちらの製品タイプを選択するか決めることになる。少しでも導入コストを下げたい場合には、ソフトウェアタイプが有利になるが、WAFを導入したいWebサーバーの台数が多い場合にはアプライアンスタイプのほうが有利になる。

また、WAFの保守管理を考えると、アプライアンスのほうが手間はかからない。ただし、アプライアンスの場合には対応できるトラフィック量によって製品モデルが異なることから、トラフィック量の変化をある程度予測できないと、短期間でトラフィック量が増えてしまったときにはモデル変更しなければならなくなるので注意が必要だ。

オープンソースやSaaS型のWAFも登場

ソフトウェアタイプを選択する場合、商用製品のほかにオープンソースという選択肢もある。セキュリティスキルを持つネットワーク運用管理者が社内に居る場合には、商用製品の前に一度試してみるのもいいだろう。

主なオープンソースのWAFとしては、Breach Security社が提供しているModSecurity（対象Webサーバー：Apache）と、AQTRONIX社が提供しているWebKnight（対象Webサーバー：IIS）がある。詳細については、IPAの「Web Application Firewall読本」（http://www.ipa.go.jp/security/vuln/waf.html）を参照して頂きたい。

また、最近では、SaaS型でWAF機能を利用することも可能になっている。これらのサービスでは、事業者が管理するサービスセンター（ここにWAFが設置されている）を経由する形でWebアプリケーションにアクセスすることになる。具体的には、WebサーバーのIPアドレスをサービスセンターのIPアドレスとなるようにDNSの設定を変更するだけでOK。SaaS型なので、低コストでWAF機能を導入でき、解約も簡単だ。