保护数据的Web应用防火墙

　　传统防火墙用于解决网络接入控制问题，可以阻止未经授权的网络请求，而应用防火墙通过执行应用会话内部的请求来处理应用层。应用防火墙专门保护Web应用通信流和所有相关的应用资源免受利用Web协议发动的攻击。

　　应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻击，设法得到命令串或逻辑语句的逻辑内容攻击，以及以账户、文件或主机为主要目标的目标攻击。

　　实现应用防火墙有两种方式：执行积极行为的积极安全模型和阻止已知攻击的消极安全模型。

　　积极安全模型通过在用户与应用互动时学习应用逻辑，然后再建立有效的已知请求的安全政策来执行积极行为，其实现方法如下。

　　1. 最初的策略包含有效地启动网页的清单。在创建会话政策之前，用户的最初请求必须与这些启动网页相匹配。

　　2. 应用防火墙分析下载的网页请求，包括网页链接、下拉菜单和表格域，并制定在用户会话期间可以发出的所有可允许的请求的政策。

　　3. 在用户请求传送给服务器之前，验证请求是否有效。政策不承认的请求被作为无效请求予以阻止。

　　4. 当用户会话结束时，这个会话政策被销毁。一次新会话，就创建一个新政策。

　　消极安全模型依靠一个保存可能出现攻击的特征的数据库阻止识别出的攻击，实现方法如下。

　　1. 利用已知的攻击特征集合制定政策。

　　2. 不采用下行网页分析来更新政策。

　　3. 识别出的攻击予以阻止，而未知请求(好的或坏的)都被认为是有效的并传送给服务器进行处理。

　　4. 所有的用户都共享同样的静态政策。

　　应用防火墙安装在防火墙与应用服务器之间，在ISO模型的第七层上运行。所有的会话信息，包括上行和下行的会话信息，都要流经应用防火墙。下行请求经过应用防火墙，并且在积极模型的情况下，进行政策的解析处理。这就要求应用防火墙安装在缓存服务器的前端，以保证请求的有效性。上行请求经过只允许有效请求通过的应用防火墙，因此避免了有害请求进入服务器。

　　应用防火墙知道输入和输出的会话请求，提供与已有应用的联机集成，并与Web应用技术相兼容。应用防火墙在威胁达到应用之前实时处理这些威胁。应用防火墙监听80和443 TCP端口，并从客户机接收输入的HTTP/Secure HTTP请求，然后解析这些请求，将这些请求与会话建立关系或者创建一次会话，然后将请求与会话的政策相匹配。如果这个请求得到承认(即对应的链接得到承认)，它就被转发给Web服务器。如果不被承认，请求就被拒绝。Web服务器的应答到达应用防火墙之后，会与请求所属的同一个会话建立关系，进行解析，与此同时政策更新(承认的新链接)也被提取出来与会话建立关系。

　　如果这是对第一个请求的应答，一个加密会话Cookie还被附着在这个应答中，用于识别与客户机以后的通信会话。应用防火墙最后将这个应答转发给客户机。