基于Web的应用程序带来的是，要求安全增值厂商和系统集成商为了web应用防火墙一系列的服务增加对防火墙设备的安装、配置和支持。防火墙产品因其协助遵从支付卡行业数据安全标准(PCI DSS)而获得了关注(PCI法规 6.6要求机构自身检查web应用程序的所有代码，或者安装一个Web应用防火墙来防范已知的攻击方式)，对为其应用程序提供web访问的组织而言，它们已成为一种必须。

　　传统的网络防火墙对web保护还不够充分。尽管保护其它的网络组件仍然需要它们，但是它们不能保护基于Web的应用程序。本节将对Web应用防火墙做一个简介，说明它们的作用以及它们如何工作，它们可以阻止的攻击类型和它们优于Web应用程序代码审查的原因。

　　什么是Web应用防火墙?

　　Web应用防火墙是专门为保护基于web的应用程序而设计的，它不像传统的防火墙，基于互联网地址和端口号来监控和阻止数据包。一个标准的端口号对应一种网络应用程序类型。例如，telnet接收发送到端口23的数据包，邮件服务器接收发送到端口25的数据包。

　　传统的防火墙允许向邮件服务器相对应的互联网地址发送数据，让数据包通过25端口送达目的地。发送数据包给一个不是邮件服务器系统的互联网地址和25端口，就是一个攻击。防火墙会阻止这些数据包。

　　Web服务器理应通过80端口传送数据包。所以所有发给支撑web服务器系统80端口的数据包必须被允许通过防火墙。传统的防火墙没有办法测定一个地址指向正确的数据包是否包含威胁，但Web应用防火墙可以仔细检查数据包的内容来检测并阻止威胁。

　　Web应用程序如何遭受攻击

　　黑客们不断开发新的方法获得未经授权的Web应用程序访问，但是也有一些通用的技术。

　　SQL注入：一些应用程序通过复制Web客户端输入来创建数据库查询。黑客通过构造一些应用程序没有仔细检查和会被拒绝的字符串，来获取返回的机密数据。

　　跨站点脚本：黑客插入脚本代码(如JavaScript或ActiveX)到一个输入字符串，导致Web服务器泄漏用户名和密码等信息。

　　操作系统命令注入：一些应用程序从web输入来创建操作系统命令，就像访问一个文件和显示文件内容。如果输入的字符串没有仔细检查机制，黑客就可以创建输入来显示未经授权的数据、修改文件或系统参数。

　　会话劫持：黑客通过猜测基于令牌格式知识的会话令牌的内容来获得登录会话的权利。这使得黑客能接管会话并可以得到原来的用户帐户信息。