随着Web2.0的到来,Web应用程序在互联网上提供的服务项目呈指数增长,而针对Web应用程序的攻击数量直线增长、攻击方式愈发复杂。但由于开发人员缺乏对Web应用程序安全性的关注和认识,并未使用安全的软件开发技术,导致Web应用程序漏洞百出而成为当前攻击的首要目标。针对程序漏洞的攻击,一般做法都是设置防火墙进行防御。传统的防火墙能够成功阻止网络层的攻击,但传统防火墙在基于应用层的Web应用程序的攻击面前并不能进行有效的防御。因此,Web应用程序有必要的安全需求。在Web安全变得愈发重要的情况下,Web应用防火墙(WAF)应运而生。针对传统Web应用防火墙存在的问题,本文设计出一种具有Web应用防火墙功能的应用网关。本文采用Web化管理的模式,解决了客户端模式的Web应用防火墙在目标主机上需要安装客户端的需求问题;本文采用将证书私钥加密后存储在数据库中的方法,解决了证书扩散会导致证书泄露的问题;同时,本文将应用网关设计为业务访问的统一接入口,使所有业务访问都需要经过网关,这样就可以在网关上实现流量检测、负载均衡等功能,系统的可扩展性大大提高。对于应用网关的核心设计Web应用防火墙模块,本文采用签名检测与异常检测的策略来实现Web应用防火墙模块的功能。签名检测模块分为两个部分:签名检测规则集模块和CC(Challenge Collapsar)防御模块。本文设计了能够防御常见攻击的签名检测规则集模块,该模块通过分析常见的Web应用攻击,如SQL注入、XSS(跨站点脚本攻击)等,同时分析并借鉴规则集Mod Security的核心规则,然后对两者进行整合来实现的;本文设计的CC防御模块,根据调研之后得出当前CC攻击主要是根据网页页面进行攻击,所以CC防御由Cookie、HTTP URL、HTTP User-Agent三个方面进行检测来实现;本文设计的异常检测策略,主要针对day0类型的攻击。本文根据数据模型和检测模型的设计,采用了请求长度检测的算法,能够有效地对异常长度参数的请求进行拦截,同时保证很低的误报率。同时本文还设计并实现了应用后端的负载均衡功能,在后端存在多个应用服务器时,会随机的为用户业务访问分配资源。而Web化后台管理模块,实现了业务配置管理、规则管理、日志管理等功能,其使用Angular进行实现,通过后端的API与网关进行实时交互。最后,根据Web应用防火墙应用网关的典型应用场景进行环境搭建和进行功能测试。我们在如下场景中进行了测试,并验证了系统功能:(1)安全管理员在登录后台管理端之后,可通过Web界面在管理端根据实际应用需求对应用、规则等进行设置与修改;(2)在模拟不法分子进行恶意攻击的实验中,WAF应用网关能够很好的防御常见的攻击、CC以及进行异常参数检测,对攻击触发的规则进行阻断、验证码校验或其他保护行为。