Web应用防火墙是专门保护Web站点和应用免受来自于应用层攻击的Web应用防护系统。它内置于Web服务器软件中，通过分析应用层的用户请求数据（如URL、参数、链接、Cookie等），区分正常用户访问Web和攻击者的恶意行为，对攻击行为进行实时阻断和报警。

        Web应用防火墙对常见的注入式攻击、跨站攻击、上传假冒文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。

        尽管有防病毒保护、防火墙和IDS/IPS，企业仍然不得不允许一部分的通讯经过防火墙，如Web应用必须的80 和443端口，是一定要开放的。而恶意的用户则可以利用这两个端口执行各种恶意的操作，或者偷窃、或者操控、或者破坏 Web 应用中的重要信息（见图示4-3）。

        传统安全设备仅仅工作在网络层上，并不能精确理解应用层数据，更无法结合Web系统对请求进行深入分析，针对应用层面的攻击可以轻松的突破防火墙保护的网站。在大量而广泛的Web网站和Web应用中，需要采用专门的Web应用防火墙来保护Web应用层面的安全。

        两种部署方式

        Web应用防火墙采用软件方式（核心内嵌技术）实现，而一些应用防火墙采用硬件方式（反向代理技术）实现，它们的部署方式见下图（图示4-4）：

        硬件产品部署于网关处，对其后网段内所有的Web服务器起保护作用；软件产品是部署在每台Web服务器上，仅对该Web服务器起作用。

        硬件产品由于使用反向代理技术，本身对外也是一台Web服务器，有着自己的IP地址和开放80端口，因此在部署时需要重新规划网络的IP地址分配，并需要对网络防火墙作相应调整。

        软件产品作为Web服务器软件的一部分运行，不仅没有独立的IP地址和软件，甚至在本机上没有独立的进程，这样部署后对整个网络系统是完全透明的，无须对其他安全设备进行调整。

        技术特点

        安全性

        Web应用防火墙的防护引擎内嵌于Web服务器软件里，与Web服务器协同工作，有效处理来自每一个浏览器的每次访问请求。它的部署位置决定了它完全能理解应用层数据，每个http请求在实际交给Web服务器处理之前，防护引擎都能结合Web服务器会话环境对其进行安全性分析，确保应用层上的万无一失。

        高效性

        Web应用防火墙的防护引擎以Web服务器软件插件的形式工作（即Web服务器核心内嵌），完全与Web服务器合为一体。因此它在做安全检查和分析时，没有任何的网络通信、进程切换、线程创建和文件读写等动作，避免了不同系统交换信息所带来的资源消耗和延迟，最大限度保证了Web服务的效率。

        稳定性

        Web应用防火墙的防护引擎使用了可靠的Web服务器内嵌模块。该模块严格按照7*24小时运行标准设计，在内存处理、多线程处理、文件I/O处理方面有着稳健的实现。灵活性

        Web应用防火墙的各项参数和设置都可以灵活地加以配置，特别是可以给同一网站的不同的Web服务器及一台Web服务器上不同的虚拟主机（站点）应用不同的规则。例如：可以给公众浏览站点和管理站点设置不同的规则，给不同Web系统的应用设置不同的规则等，最大程度满足安全性和灵活性的平衡。

        广泛性

        Web应用防火墙支持所有的主流操作系统，包括：Windows、Linux、FreeBSD、Solaris、AIX、HP-UX；支持所有的主流Web服务器软件，包括：IIS、Apache、Weblogic、Websphere、ReSin、Tomcat等；支持所有的主流硬件/CPU架构，包括：x86、sparc、PowerPC、Itanium II、PA-RISC。

        易部署

        Web应用防火墙的易部署体现在两方面：零硬件需求和零管理需求。Web核心是Web系统的一个插件直接运行在用户原有的Web服务器上，无须新增任何硬件设备，也无须对原有硬件进行升级。另外，Web与网站的应用以及发布和管理方式完全无关，无须改变任何系统管理和业务流程，该系统的部署对网站相关的绝大部分人员都是透明的。

        可扩充

        Web应用防火墙的防护引擎与攻击特征库是分离的，可以独立升级。防护引擎相对稳定保证了Web应用系统/网站的稳定性；攻击特征库会依据最新的安全状况作及时更新，包括：发现新的黑客攻击模式、发现新的Web服务器或操作系统漏洞、发布新的Web服务器软件或新的操作系统。