Web應用防火墻檢查每一個傳入的數(shù)據(jù)包的內容來檢測上述類型的攻擊。例如，web應用防火墻會掃描SQL查詢字符串，來檢測和刪除那些導致返回的數(shù)據(jù)多余應用程序要求的字符串。增值廠商應仔細監(jiān)測新發(fā)展的攻擊類型并跟蹤檢測他們的最新產(chǎn)品。

Web應用防火墻不僅檢測上述已知類型的攻擊，而且還監(jiān)測異常的使用模式來檢測目前未知的攻擊方法。例如，通常Web應用程序與web客戶端的信息交流數(shù)量是有限的。如果Web應用防火墻檢測到Web服務器正在返回一個比預期大很多的數(shù)據(jù)量，它就會及時切斷傳輸，以防止更多的數(shù)據(jù)泄露。

目前有基于軟件和基于應用程序的web應用防火墻。基于軟件的產(chǎn)品布置在Web服務器上，而基于應用程序的產(chǎn)品放置在Web服務器和互聯(lián)網(wǎng)接口之間。兩種類型的防火墻都會在數(shù)據(jù)傳入和傳出web服務器之前檢查數(shù)據(jù)。

一般基于軟件的產(chǎn)品成本低于基于應用程序的產(chǎn)品成本，基于軟件的產(chǎn)品供應商聲稱這類防火墻具有更低的延遲和更高的吞吐量。但是在web服務器上安裝額外的軟件勢必會增加額外的處理負荷和系統(tǒng)上軟件的復雜性。

基于應用程序的防火墻廠商聲稱，這類防火墻安裝和使用簡單，因為沒有額外的軟件安裝在Web服務器系統(tǒng)上。 Web服務器的性能不受Web應用程序防火墻處理的影響。

除了商業(yè)產(chǎn)品外，也有許多開放源碼的Web應用防火墻可用。這些產(chǎn)品成本低于商業(yè)產(chǎn)品(就開放的源代碼工具來說，他們是免費的，或者就基于開放源代碼的商業(yè)產(chǎn)品來說，極有可能降低成本)。過去開源代碼關注的是，黑客們將檢查代碼并設法逃避保護措施。有了應用Linux這類開源代碼軟件的豐富經(jīng)驗，這些都不是什么問題。

所有的產(chǎn)品，不論是購買的還是開源代碼，無論是基于軟件的還是基于應用程序的，都應該得到支持。商業(yè)產(chǎn)品得到了供應商的支持。開放源代碼為增值廠商和系統(tǒng)集成商提供了一個整合安全知識的機會。為Web應用程序防火墻提供持續(xù)的支持，確保合作伙伴與客戶保持密切的關系，給供應商在未來為客戶提供更多產(chǎn)品和服務提供了機會。

因為每個客戶的環(huán)境和應用程序設置是不同的，VARs和系統(tǒng)集成商必須評估每個客戶的獨特需求，以確定哪種類型的Web應用防火墻將是最合適的。但是，毫無疑問所有客戶的Web應用程序都應該得到Web應用防火墻的保護。如果用戶不理解這種需求或者不同意該做法，一定要介紹給他們Web應用程序可能受到攻擊的多種方式。

仔細檢查應用程序代碼是一種替代web應用防火墻的方法。攻擊都是在編譯出錯或者缺乏內部數(shù)據(jù)檢查的地方取得成功。從理論上來講，一個通過代碼檢查員逐行檢查過錯誤的web應用程序，可以替代web應用防火墻。

在實踐中，盡管軟件工程師通常不相信他們的代碼有缺陷，但對應用程序的不斷更新使得詳細的代碼檢查變得幾乎不可能，更不用說代碼檢查員很容易的就會忽略不安全的代碼，特別是那些沒有安全背景的檢查員。

此外，黑客技術迅速發(fā)展。網(wǎng)絡防火墻供應商時時關注新攻擊類型的新聞、及時更新它們的產(chǎn)品。有些客戶可能覺得經(jīng)過代碼審查的程序可以使他們避免實施一個web應用防火墻所帶來的花費和工作量，但解決方案供應商應幫助客戶認識到安全代碼審查只能帶來虛假的安全感，實際上并不能代替Web應用防火墻提供的全面安全保護。

【編輯推薦】

1. Web應用與Web應用防火墻之Web應用
2. Web應用安全日趨嚴重我們該拿什么拯救
3. Web應用防火墻怎樣為客戶提供防護 上篇
4. Web應用與Web應用防火墻之網(wǎng)絡安全產(chǎn)品追述