网络安全等级保护：使用单机防火墙

防火墙设备设备可以满足《网络安全等级保护基本要求》中安全区域边界对边界防护和访问控制的相关测评项的要求。对于等级保护第二级以上的网络，是必备设备。所以在网络设计阶段，应当充分考虑满足等级保护相关要求，而防火墙是必须考虑中的一类设备。具体防火墙的选型与配套，需要根据业务的要求进行选购。

使用单机防火墙

单机防火墙是在单个PC（甚至服务器）上运行的防火墙解决方案。这并不意味着网络边界的网关防火墙；而是网络边界的网关防火墙。相反，它旨在为单个机器提供额外的保护。对于个人和企业网络来说，这是一种适当的安全措施。通过将单机防火墙与其他网络防火墙（网关、网段等）相结合，您可以实现深度防御。

无论您工作在哪种场景，单机防火墙都有很多共同点：

·这些可以是数据包过滤、SPI，甚至是应用程序网关。

·全部都是基于软件的。

·大多数都易于配置和设置。

除了为工作站或服务器提供一般防火墙保护之外，防火墙还可以设计用于保护特定类型的应用程序。例如，单机应用程序防火墙通常设计为在数据库或 Web 服务器上运行，并为该设备提供额外的保护层。此类防火墙的设计和配置是为了响应特定威胁。例如，Web 应用程序防火墙 (WAF) 是专门为抵御 Web 攻击而设计的。

Web 应用程序防火墙

Web 应用程序防火墙于 20 世纪 90 年代末首次推出，此后一直在不断发展。它们可以部署在 Web 服务器上或作为单独的设备（例如反向代理）部署。开放 Web 应用程序安全项目 (OWASP) 将 WAF 描述为“HTTP 应用程序的应用程序防火墙。它将一组规则应用于 HTTP 会话。一般来说，这些规则涵盖了常见的攻击，例如跨站脚本 (XSS) 和 SQL 注入。”

这个概念是超越数据包过滤规则并寻找特定网络攻击的指标。SQL注入是通过传输特定的符号和字符来完成的。WAF 可以扫描所有传入 HTTP 消息中的攻击，并减轻或防止此类攻击。

OWASP 支持多个项目，包括Corazo, 它是一个 WAF，可以作为库导入到 Web 服务器或代理中。Microsoft 的云解决方案 Azure 通过云服务为 Azure 中托管的 Web 应用程序支持 Web 应用程序防火墙。

ModSecurity，通常称为 ModSec，是一个开源 WAF，最初是 Apache Web 服务器的一个模块。ModSec 已得到扩展，现在支持其他 Web 服务器，包括 Microsoft IIS。在其所有配置中，ModSec 支持一种称为 SecRules 的规则配置语言，用于配置 HTTP 通信的过滤、监视和日志记录。