waf全称是Web Application Firewall，所以，能处理HTTP协议的负载均衡软件，都可以作为Waf。然而，如果性能太差，这个Waf就很容易被轻微的流量攻击打挂，而Nginx性能非常优异，因此常用于Waf。另一方面，Waf需要解析HTTP协议，包括body中的表单信息，纯粹用C语言编写工作量非常大，因此OpenResty常常是Waf的首选。

用body_filter_by_lua指令实现成本较小，参见https://github.com/openresty/lua-nginx-module#body_filter_by_lua，注意这会降低Nginx的转发性能，如果能在上游应用服务器上做更好

可以支持，web向api的代理可以通过不同location来支持