网络架构和部署：双臂代理模式

　　双臂代理模式是Web应用防火墙部署种的非常好的模式。这个模式也是拓扑过程中推荐的模式，能够提供非常好的的安全性能。

　　在此模式中，所有的数据端口都将被开启;端口eth1是对外的，直接面向因特网的端口;端口eth2将会和内部的设备(交换机等)进行连接，是面向内部的。管理端口可以被分配到另一个网段，我们推荐将管理数据和实际的流量分离，避免因为实际流量和管理数据的冲突。

　　以下为示例拓扑图：

　　网络实现：

　　1. 前端端口和后端端口位于不同的网段，所有外部客户将会和应用虚拟IP地址进行连接，此虚拟ip将会和前端端口(eth1)进行绑定

　　2. 客户的连接将会在设备上终止，进行安全检查和过滤

　　3. 合法的流量将会由后端端口(eth2)建立新的连接到负载均衡设备

　　4. 负载均衡进行流量的负载

　　5. 双臂代理模式可以开启所有的安全功能

　　工作特点：基于应用层的检测，同时又拥有基于状态的网络防火墙的优势

　　• 对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化，杜绝各种利用协议漏洞的攻击和权限提升

　　• 预期数据的完整知识(Complete Knowledge of expected values)，防止各种形式的SQL/命令注入，跨站式脚本攻击

　　• 实时策略生成及执行，根据您的应用程序定义相应的保护策略，而不是千篇一律的厂家预定义防攻击策略，无缝的砌合您的应用程序，不会造成任何应用失真