WAF防护功能的实现方案_waf　实现控制

由于web应用的特殊性，针对web应用的攻击变形技术很多，单纯的基于特征签名的防御措施很容易被突破。这也是现有的安全措施并不能保护好web应用的主要原因。通过固定应对措施或单独使用编码技术进行防护的措施都具有一定的限制性，而防火墙能够同时兼顾两个方面的需求，在设计中通过预处理模块与检测模块的互为合作可以同时实现上述两个方面的需求。

1、 预处理模块，该模块的主要功能在于编码解码标准的实现和融入，基于SSL协议层实现。SSL协议是安全阶层协议，其主要功能为认证、加密、完整性验证三个方面。在编码标准化方面，由于web应用的特殊性，支持各种编码，攻击者可以通过各种编码和变换字符集来突破现有的防御措施。

2、 检测功能模块，检测模块在web应用防火墙中承担了安全功能需求导向部分的实现，功能涵盖了过滤器和权限控制两个方面：首先是过滤器，过滤器注重解决的就是web应用中最为严重的用户输入恶意信息的问题，其次是访问控制，web应用站点正常会包含一些不在正常网站数据目录树内的URL链接。WAF可以通过访问控制策略提供细粒度的访问控制列表，阻止这些链接的非授权访问。