目前利用网上随处可见攻击软件Software攻击者不需要对网络协议深厚理解基础即可完成诸如更换Web网站WebSite主页盗取管理员密码数据库注入和破坏整个网站WebSite数据等等攻击而这些攻击过程中产生网络层数据和正常数据没有什么区别
　　以下是国家计算机网络应急技术处理协调中心(CNCERT/CC)统计2008年上半年我国国内网站WebSite被黑被篡改统计图在1月－7月内仅发现被篡改网站WebSite就多达41,000多个平均每天就有近200个网站WebSite被篡改这真是个惊人数字
　　网站WebSite被篡改数目以每年2-3倍递增速度还在不断上升趋势当中在WEB应用如此普及如此至关重要今天可以说网站WebSite防黑防篡改解决方案已经是每个企业或事业单位网络运维部门迫在眉急重大任务
　　很多用户认为在网络中部署多层防火墙入侵检测系统(IDS)入侵防御系统(IPS)等设备就可以保障网络安全性就能全面立体防护WEB应用了但是为何基于WEB应用攻击事件仍然不断发生？其根本原因在于传统网络安全设备对于应用层攻击防范作用十分有限目前大多防火墙都是工作在网络层通过对网络层数据过滤(基于TCP/IP报文头部ACL)实现访问控制功能；通过状态防火墙保证内部网络不会被外部网络非法接入所有处理都是在网络层而应用层攻击特征在网络层次上是无法检测出来IDSIPS通过使用深包检测技术检查网络数据中应用层流量和攻击特征库进行匹配从而识别出以知网络攻击达到对应用层攻击防护但是对于未知攻击和将来才会出现攻击以及通过灵活编码和报文分割来实现应用层攻击IDS和IPS同样不能有效防护
　　WEB应用防火墙出现解决了这方面难题应用防火墙通过执行应用会话内部请求来处理应用层它专门保护Web应用通信流和所有相关应用资源免受利用Web协议或应用漏洞发动攻击应用防火墙可以阻止将应用行为用于恶意目浏览器和HTTP攻击些强大应用防火墙甚至能够模拟代理成为网站WebSite服务器接受应用交付形象来说相当于给原网站WebSite加上了个安全绝缘外壳
　　下面我们就用款现在业内比较普遍Barracuda-NC应用防火墙来举例来看看应用防火墙是如何保护网站WebSite防止被恶意注入和篡改了
　　网络架构和部署:双臂代理模式
　　双臂代理模式是Web应用防火墙部署种最佳模式这个模式也是拓扑过程中推荐模式能够提供最佳安全性能
　　在此模式中所有数据端口都将被开启；端口eth1是对外直接面向因特网端口；端口eth2将会和内部设备(交换机等)进行连接是面向内部管理端口可以被分配到另个网段我们推荐将管理数据和实际流量分离避免实际流量和管理数据冲突
　　网络实现:
　　1、前端端口和后端端口位于区别网段所有外部客户将会和应用虚拟IP地址进行连接此虚拟ip将会和前端端口(eth1)进行绑定
　　2、客户连接将会在设备上终止进行安全检查和过滤
　　3、合法流量将会由后端端口(eth2)建立新连接到负载均衡设备
　　4、负载均衡进行流量负载
　　5、双臂代理模式可以开启所有安全功能
　　工作特点:基于应用层检测同时又拥有基于状态网络防火墙优势
　　对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化杜绝各种利用协议漏洞攻击和权限提升
　　预期数据完整知识(Complete Knowledge of expected values)防止各种形式SQL/命令注入跨站式脚本攻击
　　实时策略生成及执行根据您应用定义相应保护策略而不是千篇律厂家预定义防攻击策略无缝砌合您应用不会造成任何应用失真
　　网站WebSite全面隐身:黑客再神奇也无法攻击看不见东西
　　Barracuda-NC应用防火墙对外部访问网站WebSite进行隐身可以隐藏真实Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息让黑客看不见摸不着探测不到自然也无从猜测分析和攻击以下便是款常用扫描工具扫描经过Barracuda-NC应用防火墙隐藏网站WebSite结果
　　同时它还能识别各种爬行探测只允许正常搜索引擎爬虫进入抵御黑客爬行于门外让想通过探测确定攻击目标黑客彻底无门
　　除此的外做为款强大应用防火墙Barracuda-NC应用防火墙还有许多应用交付功能:应用数据缓存Cache数据压缩TCP连接池SSL Offloading7层内容交换负载均衡等等完全可以替代其他应用层交换设备做为应用层交换中流砥柱