由於web應用的特殊性,針對web應用的攻擊變形技術很多,單純的基於特徵簽名的防禦措施很容易被突破。這也是現有的安全措施並不能保護好web應用的主要原因。通過固定應對措施或單獨使用編碼技術進行防護的措施都具有一定的限制性,而防火牆能夠同時兼顧兩個方面的需求,在設計中通過預處理模塊與檢測模塊的互爲合作可以同時實現上述兩個方面的需求。
1、 預處理模塊,該模塊的主要功能在於編碼解碼標準的實現和融入,基於SSL協議層實現。SSL協議是安全階層協議,其主要功能爲認證、加密、完整性驗證三個方面。在編碼標準化方面,由於web應用的特殊性,支持各種編碼,攻擊者可以通過各種編碼和變換字符集來突破現有的防禦措施。
2、 檢測功能模塊,檢測模塊在web應用防火牆中承擔了安全功能需求導向部分的實現,功能涵蓋了過濾器和權限控制兩個方面:首先是過濾器,過濾器注重解決的就是web應用中最爲嚴重的用戶輸入惡意信息的問題,其次是訪問控制,web應用站點正常會包含一些不在正常網站數據目錄樹內的URL鏈接。WAF可以通過訪問控制策略提供細粒度的訪問控制列表,阻止這些鏈接的非授權訪問。