部署Web防火墙，在应用层做到深度检测

　　然而，传统的防火墙无法侦测很多应用层的攻击，如果一个攻击隐藏在合法的数据包中(HTTP访问)，它仍然能通过防火墙到达应用服务器;同样，如果某个攻击进行了加密或编码该防火墙也不能检测。

　　针对传统防火墙的弊端，Web 应用防火墙逐渐在中小企业和Web服务托管环境中广泛应用，它包括两个关键功能：即对HTTP/HTTPS 协议的实时监测，HTTP往返流量都能够对其行为状态进行判断，在攻击到达Web 服务器之前进行阻断，防止恶意的请求或内置非法程序的请求访问目标应用。

　　另外，我建议赵明选择更先进的Web防火墙，例如携带网页防篡模块，这可以 通过内置自学习功能获取WEB 站点的页面信息，对整个站点进行“爬行”，爬行后根据设置的文件类型(如html、css、xml、jpeg、png、gif、pdf、word、flash、excel、zip 等类型)进行缓存，并生成唯一的数字水印，然后进入保护模式提供防篡改保护，当客户端请求页面与WAF 自学习保护的页面进行比较，如检测到网页被篡改，第一时间对管理员进行实时告警，对外仍显示篡改前的正常页面，用户可正常访问网站。当然，事后可对原始文件及篡改后的文件进行本地下载比较，查看篡改记录，这对于赵明来说，就是在现在的网站结构中安插一个24小时的哨兵。

　　提示：在配置Web防火墙时，配置的策略下包含了HTTP 协议合规性、SQL 注入阻断、跨站点脚本攻击防护、表单、ookie 篡改防护、DoS 攻击防护等，这是传统防火墙从来就没有涉及的领域。

　　添加设备修改网络结构

　　通过上述分析，我们需要对赵明的网站结构中添加三个设备，即：Web防火墙、数据泄漏产品和传统的内网高速防火墙。这三个产品并分别存放在：Web服务器前端，交换机后面的数据库区域(背对背防火墙，防止数据库直接暴露)，以及文件服务器和内网客户端上部署数据泄漏产品。

　　我们选择了市面上占有率较高的产品作为以下拓扑图中实例：?

　　◆华为Eudemon 300 千兆防火墙?

　　◆明御Web 应用防火墙?

　　◆Websense Content Protection Suite防数据泄露