一、Web应用防火墙概述

Web应用防火墙是一种专门用于护着Web应用程序的平安设备或柔软件。它部署在Web应用和互联网之间，对全部进入Web应用的HTTP/HTTPS流量进行实时监控和过滤。其基本上目的是别让各种针对Web应用的打， 如SQL注入、跨站脚本打、暴力破解等，确保Web应用的可用性、完整性和保密性。

二、Web应用防火墙基本上干活的层次

Web应用防火墙基本上干活在应用层。在OSI七层模型中，应用层是最接近用户的一层，负责处理用户的应用程序求和响应。Web应用防火墙通过对HTTP/HTTPS协议的深厚入琢磨， 对应用层的求和响应进行过滤和监控，从而实现对Web应用的平安防护。

与老一套防火墙相比，老一套防火墙基本上干活在网络层和传输层。网络层防火墙基本上根据IP地址和端口号进行过滤， 阻止不合法的网络访问；传输层防火墙则基本上关注TCP和UDP协议，对端口和连接状态进行监控。只是这些个层次的防火墙无法对应用层的打进行有效的检测和防范。

三、 Web应用防火墙基本上干活在应用层的干活原理

Web应用防火墙的部署方式基本上有反向代理模式、透明代理模式和旁路部署模式。

• 反向代理模式：防火墙位于Web服务器前端， 对全部进入Web应用的求进行检查和过滤，然后将正规求转发给Web服务器。
• 透明代理模式：防火墙不需要改变网络拓扑结构， 像一个透明的设备一样添加到网络中，客户端和服务器之间的传信不会察觉到防火墙的存在。
• 旁路部署模式：防火墙不直接参与数据的转发，而是通过镜像端口或分光器获取网络流量的副本进行琢磨。

Web应用防火墙在应用层的干活原理基本上包括规则匹配、异常检测和行为琢磨等。

规则匹配是最常见的干活方式。Web应用防火墙预先定义了一系列的平安规则， 当有HTTP/HTTPS求进入时防火墙会将求的内容与规则库中的规则进行逐一匹配。如果找到匹配的规则，则觉得该求是恶意的，会根据预设的策略进行处理。

四、 Web应用防火墙在网络层和传输层的辅助干活

虽然Web应用防火墙基本上干活在应用层，但在有些情况下它也会在其他层次进行辅助干活。

在网络层，Web应用防火墙能与老一套防火墙进行联动，实现对IP地址和端口的过滤。比方说 对于一些频繁发起打的IP地址，Web应用防火墙能将其加入黑名单，通知网络层防火墙阻止该IP地址的全部访问。

在传输层，Web应用防火墙能对TCP连接进行监控。它能检测到一些异常的TCP连接行为，如一巨大堆的半开连接、异常的连接速率等。对于这些个异常行为，防火墙能采取相应的措施，如关闭连接、管束连接速率等，以别让网络材料被耗尽。

五、 Web应用防火墙在其他层次的辅助干活

Web应用防火墙在旁路部署模式下能像老一套防火墙一样，通过镜像端口或分光器获取网络流量的副本进行琢磨。这种模式下 Web应用防火墙基本上用于对网络流量的监控和审计，不能直接阻止打，但能及时找到潜在的平安吓唬。

行为琢磨则是对Web应用的行为进行实时监控和琢磨。它不仅关注求的内容，还会考虑求的上下文和往事记录。比方说一个用户通常是从登录页面进入Web应用，然后进行正常的操作。如果某个求绕过了登录页面直接访问了敏感页面防火墙就会觉得该求存在异常，兴许是不合法的访问。

六、Web应用防火墙的部署方式

选择合适的Web应用防火墙部署方式对于确保Web应用的平安至关关键。

• 反向代理模式：适用于对Web应用平安性要求较高大的场景， 如金融、电商等。
• 透明代理模式：适用于对Web应用性能要求较高大的场景， 如巨大型网站、门户等。
• 旁路部署模式：适用于对Web应用平安性要求一般，但需要监控和审计的场景。

Web应用防火墙作为护着Web应用平安的关键手艺，基本上干活在应用层。它通过对HTTP/HTTPS协议的深厚入琢磨， 对应用层的求和响应进行过滤和监控，能够有效防范各种针对Web应用的打。一边， Web应用防火墙也会在网络层和传输层进行辅助干活，与老一套防火墙进行联动，搞优良整体的网络平安防护能力。

因为网络平安手艺的不断进步， Web应用防火墙也将不断完善和升级，为Web应用的平安给更加有力有力的保障。

---