http://www.atmarkit.co.jp/fsecurity/rensai/waf01/waf01.html
私はAFW（この記事ではWAF)にはかなり懐疑的なのです。まあ、あると便利だけどきっちりアプリを作ってればいらないし、設定の苦労の割りにうれしいことがそれほどない。まあ、脆弱性が見つかったときにプログラムの修正までの間のつなぎとして使う分にはいいけど、それにしては高すぎるので、普通は買えないだろうと思うんですよ。
あと、対策にコストがかかるというのもはなはだ疑問。いやまあ、コストはかかるだろうけど、それは開発費用に比べればたいしたことのないのでは？と思うわけですよ。