一个简单的数据包过滤防火墙只能过滤掉基于标准的数据包，例如源 IP 地址和目标端口号（例如 80 和 443）。但是，来自受信任的源 IP 地址（例如，内部网主机）并发往 Web 服务器上的端口 80 (http) 的数据包可能会被简单的数据包过滤防火墙允许。然而，该数据包（嗯，那一系列数据包）仍可能包含恶意数据，例如构成针对 Web 应用程序的 SQL 注入攻击的表单输入字符。

一个简单的数据包过滤防火墙可能不一定是有状态的，这意味着它不能只查看单个数据包的对话。此外，这些设备通常不够复杂，无法处理应用程序（TCP/IP 第 5 层）数据和细节。您可能会使用网络级防火墙来过滤和阻止网络攻击，但 Web 应用程序防火墙旨在更好地处理应用程序层 HTTP 请求的细节。将有状态的第 3 层防火墙与 Web 应用程序防火墙结合使用将是一个很好的组合。