一、产品概述

通常，网络攻击者针对Web应用程序的可能漏洞、Web系统软件的不当配置以及http协议本身薄弱之处，通过发送一系列含有特定企图的请求数据，对Web站点特别是Web应用进行侦测和攻击，攻击的目的包括：非法获取站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。

iWall应用防火墙实现了对Web站点特别是Web应用的保护。它通过全面分析应用层的用户http请求数据（如URL、参数、链接、Cookie、请求行、头部信息、载荷等），区分正常用户访问Web应用和攻击者的恶意行为，对攻击行为进行实时阻断和报警。

iWall应用防火墙对常见的注入式攻击、跨站攻击、访问敏感文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL访问限制失效等攻击手段都着有效的防护效果。

iWall应用防火墙在安全防护体系中的位置和作用如下图所示：

二、工作原理

iWall应用防火墙使用天存HTTP安全模型对所有用户请求数据进行检查。这些请求数据尚未被Web服务器软件和Web应用处理之前即进行检查，确保所有攻击行为被拒之门外。

天存HTTP安全模型采用匹配引擎和安全规则分离的方式。其工作过程如下所示：

三、产品特性

1.二阶段检查

漏判和误判以及准确和效率之间的平衡是应用防火墙最关注的问题。由于天存复杂匹配引擎支持多阶段多流程处理，因此天存核心规则集可以使用二阶段检查技术：对99%的正常访问可以初查后快速通过，对初查不合格的1%的可疑访问可以复杂匹配，精确识别。

2.加扰去除

黑客为了绕过应用安全程序或系统的检测，往往将攻击数据加扰（增加噪声）后提交。天存核心规则集可以有效识别和剔除加扰数据，包括：识别并压缩空格、识别并替换注释、大小写转换等。

3.编码识别

由于黑客攻击或者应用自身的需要，请求数据可能采用各种方式进行编码。天存核心规则集可以识别多种编码数据并进行解码，包括：HTML实体解码、URL解码、Unicode解码等。

4.多规则支持

支持任意多个规则集，可以针对站点、应用、URL甚至访问者IP来制定和应用相应的规则集，并对其中的任意规则进行单独忽略，实现细粒度的安全配置。