當(dāng)前網(wǎng)絡(luò)環(huán)境中，應(yīng)用已成為網(wǎng)絡(luò)的主要載體，而網(wǎng)絡(luò)安全的威脅更多的來(lái)源于應(yīng)用層，這也使得用戶(hù)對(duì)于網(wǎng)絡(luò)訪問(wèn)控制提出更高的要求。如何精確的識(shí)別出用戶(hù)和應(yīng)用、阻斷有安全隱患的應(yīng)用、保證合法應(yīng)用正常使用、防止端口盜用等問(wèn)題，已成為現(xiàn)階段用戶(hù)對(duì)網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。

Web應(yīng)用防護(hù)系統(tǒng)（也稱(chēng)：網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)。英文：Web Application Firewall，簡(jiǎn)稱(chēng)：WAF）應(yīng)運(yùn)而生。利用國(guó)際上公認(rèn)的一種說(shuō)法，Web應(yīng)用防火墻是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專(zhuān)門(mén)為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。

WAF還具有多面性的特點(diǎn)。比如從網(wǎng)絡(luò)入侵檢測(cè)的角度來(lái)看可以把WAF看成運(yùn)行在HTTP層上的IDS設(shè)備；從防火墻角度來(lái)看，WAF是一種防火墻的功能模塊。還有人把WAF看作“深度檢測(cè)防火墻”的增強(qiáng)。（深度檢測(cè)防火墻通常工作在的網(wǎng)絡(luò)的第三層以及更高的層次，而Web應(yīng)用防火墻則在第七層處理HTTP服務(wù)并且更好地支持它。）

Web應(yīng)用防火墻會(huì)對(duì)HTTP的請(qǐng)求進(jìn)行異常檢測(cè)，拒絕不符合HTTP標(biāo)準(zhǔn)的請(qǐng)求。并且，它也可以只允許HTTP協(xié)議的部分選項(xiàng)通過(guò)，從而減少攻擊的影響范圍。甚至，一些Web應(yīng)用防火墻還可以嚴(yán)格限定HTTP協(xié)議中那些過(guò)于松散或未被完全制定的選項(xiàng)。

修補(bǔ)Web安全漏洞，是Web應(yīng)用開(kāi)發(fā)者最頭痛的問(wèn)題，沒(méi)人會(huì)知道下一秒有什么樣的漏洞出現(xiàn)，會(huì)為Web應(yīng)用帶來(lái)什么樣的危害?，F(xiàn)在WAF可以為我們做這項(xiàng)工作了——只要有全面的漏洞信息WAF能在不到一個(gè)小時(shí)的時(shí)間內(nèi)屏蔽掉這個(gè)漏洞。

基于規(guī)則的保護(hù)可以提供各種Web應(yīng)用的安全規(guī)則，WAF生產(chǎn)商會(huì)維護(hù)這個(gè)規(guī)則庫(kù)，并時(shí)時(shí)為其更新。用戶(hù)可以按照這些規(guī)則對(duì)應(yīng)用進(jìn)行全方面檢測(cè)。還有的產(chǎn)品可以基于合法應(yīng)用數(shù)據(jù)建立模型，并以此為依據(jù)判斷應(yīng)用數(shù)據(jù)的異常。

WAF能夠判斷用戶(hù)是否是第一次訪問(wèn)并且將請(qǐng)求重定向到默認(rèn)登錄頁(yè)面并且記錄事件。通過(guò)檢測(cè)用戶(hù)的整個(gè)操作行為我們可以更容易識(shí)別攻擊。狀態(tài)管理模式還能檢測(cè)出異常事件（比如登陸失敗），并且在達(dá)到極限值時(shí)進(jìn)行處理。這對(duì)暴力攻擊的識(shí)別和響應(yīng)是十分有利的。

WAF還有一些安全增強(qiáng)的功能，可以用來(lái)解決WEB程序員過(guò)分信任輸入數(shù)據(jù)帶來(lái)的問(wèn)題。比如：隱藏表單域保護(hù)、抗入侵規(guī)避技術(shù)、響應(yīng)監(jiān)視和信息泄露保護(hù)。增強(qiáng)輸入驗(yàn)證，可以有效防止網(wǎng)頁(yè)篡改、信息泄露、木馬植入等惡意網(wǎng)絡(luò)入侵行為，從而減小Web服務(wù)器被攻擊的可能性。