现有安全产品的局限性

1.为何防火墙不能完全抗应用攻击
只对IP地址和端口起作用，且端口都必须处于开放状态。HTTP服务器通常部署在防火墙的DMZ区域，其应用端口不但完全向外部网络开放，且此方式对HTTP应用没有任何的保护作用。
使用HTTP代理型防火墙时，只验证HTTP协议本身的合法性，完全不能分析所承载的数据，更无从判断其访问行为是否合法。
因端口扫描攻击有难度，故转向通过应用层协议进入企业内部，不仅对网络协议无需深厚理解，且产生的网络层数据，和正常数据无区别，即顺利蒙混绕过达成攻击目的。

2.IPS/IDS（入侵防御 / 检测）的缺陷
入侵检测/入侵防御技术就是攻击特征检测。它首先建立一个包含目前大多已知攻击特征的数据库，然后检测网络数据中的每一个报文，若非即是。
但是IDS和IPS对于未知攻击，和将来才会出现的攻击，以及通过灵活编码和报文分割来实现的应用层攻击，不能有效的防护。
IPS也不保持会话信息，很多与会话有关的攻击，比如Cookie篡改、会话劫持，IPS都无能为力。
现在有些国产的产品将IPS掩盖成web防火墙的概念，实际上如果它不能够了解网站的内容，但他们实际不是web防火墙。

3.单纯文件防篡改系统存在短板缺陷
利用网站服务器未打补丁进行溢出攻击，或网站服务器对外开放了某些存在缺陷的服务，造成系统管理员密码被破解，那么相应的文件防篡改软件的进程将有可能会被禁用，或IIS指向的网站的目录被重定向，都将会使防篡改软件的功能失效。
网站服务器远程维护不可避免，相应的远程维护软件端口被迫对外开放，这将会给黑客有机可乘。
在IIS或apache系统上做防sql注入，黑客可轻松绕过