随着互联网技术的发展，B/S结构的软件因为其便于维护、良好的扩展性等特点应用越来越广泛。但由于Web服务自身的开放性，以及操作系统、Web服务程序和Web应用程序本身的漏洞，使得网站总是存在着被攻击破坏的可能。目前的大多防火墙软件虽然能在一定程度上保护Web服务器的安全，但其缺点是只能对已知的攻击进行防御，而随着攻击手段的不断更新和多样化以及Web服务器安全工作的疏忽，导致网站被篡改的案例时有发生。　　 国家互联网应急中心近期发布的《中国互联网网络安全报告》中指出，中国大陆被篡改网站的数量相比往年处于明显上升趋势，而在被篡改的网站中政府网站是攻击者的主要目标。政府网站由于整体安全性差，缺乏必要的经常性维护，容易被篡改。被篡改后的网页或其他媒体文件被用户访问会给网站所有者带来名誉上的巨大损失，造成不良的社会影响，这一点对政府部门来说尤为严重。　　 本文针对政府网站安全建设中的关键问题，首先分析了Web服务的结构和HTTP协议报文格式，介绍了传统代理防火墙的工作原理，总结了传统代理防火墙的缺陷，即缺乏对未知攻击手段的防御能力，并与本文设计的防火墙进行了对比：传统代理防火墙的工作原理是对浏览器发送给Web服务器的HTTP访问信息进行检测过滤，通过对已知攻击手段的了解将可能存在攻击的访问信息过滤掉，保证Web服务器的安全；本文研究的防火墙利用反向代理技术原理，对Web服务器发送给浏览器的应答报文中文件内容进行检测，当发现被访问的文件已经被篡改时将其恢复为正确文件，以保证被篡改的文件不被浏览器访问到。在与传统代理防火墙结合使用时可以很大程度的提高Web服务器的安全性。　　 本文设计的防火墙对Web服务器结构进行了改进，加入了防火墙模块和同步服务器，网站文件的更新通过同步服务器进行。在文件发布时为每个文件计算HASH值作为文件唯一的数字水印，并建立Web服务器中所有文件的HASH库，同时在同步服务器中保留所有文件的备份。在浏览器访问文件时，首先根据HTTP报文内容得到用户访问的文件名，并获取该文件的内容。计算出当前的实时数字水印信息与HASH库中保存的水印信息进行对比，如果不匹配，说明文件已经被篡改，则将其拦截，并通过同步服务器上的备份文件将相应的正确文件恢复，保证用户访问到的是正确的文件。