目前有两款，基于软件和基于应用程序的web应用防火墙。基于软件的产品布置在Web服务器上，而基于应用程序的产品放置在Web服务器和互联网接口之间。两种类型的防火墙都会在数据传入和传出web服务器之前检查数据。一般基于软件的产品成本低于基于应用程序的产品成本，但是在web服务器上安装额外的软件势必会增加额外的处理负荷和系统上软件的复杂性。基于应用程序的防火墙厂商声称，这类防火墙安装和使用简单，因为没有额外的软件安装在Web服务器系统上。

 Web服务器的性能不受Web应用程序防火墙处理的影响。除了商业产品外，也有许多开放源码的Web应用防火墙可用。这些产品成本低于商业产品（就开放的源代码工具来说，他们是免费的，或者就基于开放源代码的商业产品来说，极有可能降低成本）。

过去开源代码关注的是，黑客们将检查代码并设法逃避保护措施。有了应用Linux这类开源代码软件的丰富经验，这些都不是什么问题。所有的产品，不论是购买的还是开源代码，无论是基于软件的还是基于应用程序的，都应该得到支持。商业产品得到了供应商的支持。开放源代码为增值厂商和系统集成商提供了一个整合安全知识的机会。为Web应用程序防火墙提供持续的支持，确保合作伙伴与客户保持密切的关系，给供应商在未来为客户提供更多产品和服务提供了机会。因为每个客户的环境和应用程序设置是不同的，VARs和系统集成商必须评估每个客户的独特需求，以确定哪种类型的waf将是最合适的。但是，毫无疑问所有客户的Web应用程序都应该得到Web应用防火墙的保护。如果用户不理解这种需求或者不同意该做法，一定要介绍给他们Web应用程序可能受到攻击的多种方式。