什么是应用层防火墙？

应用层防火墙能够深入理解和过滤特定的应用层协议和服务，如 FTP、DNS 和 HTTP 等。这使得它们能够识别和阻止使用非标准端口的不需要的应用程序或服务，并检测允许的协议是否被滥用。应用层防火墙可以提供统一的安全管理功能，如强制执行加密 DNS 和虚拟专用网络。

下一代应用层防火墙将深度数据包检测扩展到包括 Web 过滤、入侵防护、用户身份管理和 Web 应用程序防火墙等高级功能。这为应用层检测和安全控制提供了更广泛的范围。应用层防火墙可以提供比传统网络层防火墙更精细和全面的应用程序访问控制。

基于端点的应用层防火墙通过检查与数据传输相关的本地进程的进程 ID 与规则集进行匹配，从而过滤连接。这为主机级别的控制和保护提供了更细粒度的能力。应用层防火墙可以有效防止恶意软件和未经授权的应用程序访问网络，提高了主机的安全性。

应用层防火墙（Web应用程序防火墙，WAF）会对传输协议的请求进行异常检测，通过检测应用程序的信息流来识别和阻止潜在的网络攻击。它允许符合 HTTP 协议标准的正常访问通过，同时限制并拒绝与制定标准不一致的异常协议或非法访问的执行。通过异常检测功能，WAF 可以有效减少网络攻击的风险，提高 Web 应用程序的安全性。异常检测是 WAF 的核心功能之一，能够及时发现并阻止各种 Web 攻击行为。

增强的输入验证功能可以解决攻击者绕过浏览器的输入验证直接将恶意应用加载到 Web 服务器上的问题。WAF 在服务端进行输入验证，使用积极的安全模型和消极的安全模型相互配合，为 Web 应用验证每一个比特的输入数据，识别并禁止恶意攻击的运行。增强输入验证可有效防止异常协议的网络攻击、对传输信息的篡改以及入侵网络造成的信息泄露、木马植入等恶意行为，从而保护应用层网络信息的安全传输。通过增强的输入验证功能，WAF 能够更加全面地检测和阻止各种 Web 攻击向量。

Web 漏洞的出现具有随机性和不确定性。当系统出现漏洞后，WAF 可以及时屏蔽掉短时间内无法修复的漏洞，等待运维人员及时为漏洞编写补丁。这种及时补丁的功能可以避免系统在漏洞暴露期间遭受攻击，从而防止潜在的巨大损失。WAF 的及时补丁功能为 Web 应用程序提供了临时的保护措施，确保在漏洞修复之前系统的安全运行。

基于规则的 WAF 可由一个强大的规则数据库提供支持，该数据库由供应商负责日常的维护工作，并提供自动更新工具。构建基于规则的 WAF，能够有效保护 "零日漏洞" 和 Web 应用程序免受已知攻击的侵害。另一方面，基于异常的保护是建立检测合法应用数据的统计模型，基于该统计模型判断通信数据是否受到攻击。若受到攻击，WAF 将做出相应的保护措施。通过结合基于规则和基于异常的保护机制，WAF 可以全面防御已知和未知的 Web 攻击威胁。

在状态管理模式下，WAF 可识别用户是否是首次访问并强制登录，待用户登录后，再分别监测每一个用户会话，分析用户行为，从而能够识别异常行为。WAF 可检测出异常事件，增加身份认证的请求时间，发出检测警告，对暴力攻击做出回应。同时，在状态管理下，WAF 实现了会话超时重新认证和登录、会话劫持检测并终止劫持的会话，从而形成完善的防御机制。状态管理功能使 WAF 能够跟踪和控制每个用户会话的状态，及时发现和阻止异常行为，提高 Web 应用程序的安全性。

应用层防火墙可以是免费开源软件，也可以是商业产品。例如，从 Mac OS X Leopard 开始，就包含了 TrustedBSD MAC 框架（来自 FreeBSD），用于对服务进行沙箱化并提供防火墙层。第三方应用程序还可以提供扩展功能，包括根据应用程序过滤出站连接。

由于技术限制，现代解决方案（如沙箱）正被用作替代主机应用层防火墙来保护系统进程。这是因为主机应用层防火墙具有更细粒度的控制，但仅限于保护其所运行的主机。

尽管应用层防火墙提供了更精细的控制，但它们只能保护运行它们的主机。因此，现代解决方案如沙箱化正被用来替代主机应用层防火墙，以保护系统进程。这是因为沙箱化可以提供更广泛的保护，而不仅限于单个主机。