単純なパケットフィルターファイアウォールがWebアプリケーションの保護に不十分なのはなぜですか？

単純なパケットフィルターファイアウォールは、送信元IPアドレスや宛先ポート番号（80や443など）などの基準に基づくパケットのみをフィルターで除外できます。ただし、信頼できるソースIPアドレス（イントラネットホストなど）からのWebサーバーのポート80（http）宛てのパケットは、単純なパケットフィルターファイアウォールで許可される場合があります。しかし、そのパケット（まあ、一連のパケット）には、Webアプリケーションに対するSQLインジェクション攻撃を構成するフォーム入力文字などの悪意のあるデータが含まれている可能性があります。

単純なパケットフィルターファイアウォールは必ずしもステートフルであるとは限らない場合があります。つまり、個々のパケットだけでなく、会話を見ることができません。さらに、これらのデバイスは通常、アプリケーション（TCP/IPレイヤー5）のデータと詳細を処理するほど複雑ではありません。ネットワーク攻撃をフィルタリングしてブロックするためにネットワークレベルのファイアウォールを使用する場合がありますが、Webアプリケーションファイアウォールは、アプリケーション層でのHTTP要求の詳細をより適切に処理するように設計されています。ステートフルレイヤー3ファイアウォールとWebアプリケーションファイアウォールを組み合わせて使用​​するのが適切です。