1. 现有的防御技术

　　目前，很多企业采用网络安全防御技术对Web应用进行防护，如综合采用网络防火墙、IDS、补丁安全管理、升级软件等措施，然而这些方法难以有效的阻止Web攻击，且对于HTTPS类的攻击手段，更是显得束手无策。

　　1.1. 传统网络防火墙

　　第一代网络防火墙可以控制对网络的访问，管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。传统的防火墙无法阻止Web攻击，不论这些攻击来自防火墙内部的还是外部，因为它们无法检测、阻断、修订、删除或重写HTTP应用的请求或应答内容。为了保障对web应用的访问，防火墙会开放Web应用的80端口，这意味着Internet上的任意IP都能直接访问Web应用，因此web及其应用服务器事实上是无安全检测和防范的。

　　状态检测防火墙是防火墙技术的重大进步，这种防火墙在网络层的ACLs基础上增加了状态检测方式，它监视每一个连接状态，并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。它能根据TCP会话异常及攻击特征阻止网络层的攻击，通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中。然而，状态防火墙无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中，它仍然能通过防火墙到达应用服务器;同样，如果某个攻击进行了加密或编码该防火墙也不能检测。

　　1.2. 入侵检测系统(IDS)

　　入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。其工作模式是被动的，它不能阻止攻击，也不能对未知的攻击进行报警。目前大多数攻击特征数据库都是网络层的攻击，此外，可以通过加密，TCP碎片攻击以及其他方式绕过入侵检测系统的防御。