在目前, 部署不仅一层的防火墙, 入侵测试系统 (IDS) 和入侵防御系统 (IPS) , 针对于目前的Web网页, 已经不完全适用了, 由于目前的Web网页已经不仅仅是传统的网页, 还有不少是Web应用, 因此传统的防火墙对于这种新型的网页来讲, 用途还是非常有限。之前的不少防火墙都是在互联网层工作, 通过过滤互联网层的数据来达成对访问进行控制;还会用状况防火墙来预防互联网被不明来源的互联网非法接入。这类处置都是在互联网的层面上来完成的, 而有的特别的网页, 比如Web应用的网页的或许会被遭到攻击的特点在这种层面上是无法被检查出来的。IDS和IPS都是通过用深包测试技术来检查应用层中的流量, 来和特点库进行相应的匹配, 通过这种方法来辨别出互联网攻击来达到对攻击的防护。但对于未知的攻击, 这种办法并不可以非常不错地达到防护的成效。而适用于包含网页应用在内的Web应用防火墙的出现就非常不错地解决了这个难点, 这种防火墙是通过实行内部的请求来对应用层进行处置, 如此就可以对所有有关的资源和信息进行防护, 来预防来自互联网上的攻击。(1) Web应用防火墙的特征在正常的状况下, 一个网页在开发的时候就应该对安全问题多加注意, 在开始阶段就开始着眼于安全方案的讨论。但多数网站因为不同缘由, 都会常见存在不同程度上的安全问题。对于这类已经上线了的网站而言, 既没通用的补丁可以用, 仔细修改其中的代码又太过耗费人力物力, 如此就不可以非常不错地解决一个网站的安全问题。在这样的情况下, 最好的选择就是使用一个专业的、适用于自己网站的Web安全防护工具。对于传统的安全设施来讲, 并不可以适用于目前不少新型的网页, 如Web应用网页, 因此就要使用专用的机制来进行防护, 就是Web应用防火墙。Web应用防火墙有四个最显著的特征, 分别是对HTTP理解很深刻、可以提提供用层规则、可以提供正向的安全模型和可以提供会话的防护机制, 这几个不同于传统防火墙的特征都可以更好地帮助网站防护来自黑客的攻击。(2) Web应用防火墙的互联网构造Web应用防火墙使用的模式就是双臂代理模式, 这也是可以使用的最好模式。这个模式可以提供最好的安全性能和最高的安全系数。在这个模式中, 将会开启所有有关的数据接口, 端口1面向网络, 端口2则面向内部设施。如此就能将管理所用的流量和实质所用的流量非常不错地离别开来, 防止冲突,(3) 互联网达成过程由于在这个模式中, 前端的端口和后端的端口分别在不一样的IP上, 因此顾客在访问网站之前将会和网站的虚拟IP进行对接, 这个IP就会和前端的端口绑定起来。在绑定之后, 连接将会终止, 这个时候就开始检查安全的问题和过滤任何有危险的信息。在此之后就会把新的连接打造, 连接到负载均衡的设施上, 如此设施就再开始负载流量。最后双臂代理模式就能把所有些安全功能都开启。
