应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP抨击袭击。这些抨击袭击搜罗操作非凡字符或通配符改削数据的数据抨击袭击，设法获得呼吁串或逻辑语句的逻辑内容抨击袭击，以及以账户、文件或主机为首要方针的方针抨击袭击。

　　实现应用防火墙有两种体例：执行积极行为的积极平安模子和阻止已知抨击袭击的消极平安模子。

　　积极平安模子经由过程在用户与应用互动时进修应用逻辑，然后再成立有用的已知请求的平安政策来执行积极行为，其实现体例如下。

　　1. 最初的策略包含有用地启动网页的清单。在建树会话政策之前，用户的最初请求必需与这些启动网页相匹配。武汉软件开发培训学校整理

　　2. 应用防火墙剖析下载的网页请求，搜罗网页链接、下拉菜单和表格域，并拟定在用户会话时代可以发出的所有可许可的请求的政策。

　　3. 在用户请求传送给处事器之前，验证请求是否有用。政策不认可的请求被作为无效请求予以阻止。

　　4. 当用户会话竣事时，这个会话政策被销毁。一次新会话，就建树一个新政策。

　　消极平安模子依靠一个保留可能呈现抨击袭击的特征的数据库阻止识别出的抨击袭击，实现体例如下。

　　1. 操作已知的抨击袭击特征集结拟定政策。

　　2. 不采用下行网页剖析来更新政策。

　　3. 识别出的抨击袭击予以阻止，而未知请求(好的或坏的)都被认为是有用的并传送给处事器进行措置。

　　4. 所有的用户都共享同样的静态政策。

　　应用防火墙安装在防火墙与应用处事器之间，在ISO模子的第七层上运行。所有的会话信息，搜罗上行和下行的会话信息，都要流经应用防火墙。下行请求经由应用防火墙，而且在积极模子的情形下，进行政策的解析措置。这就要求应用防火墙安装在缓存处事器的前端，以保证请求的有用性。上行请求经由只许可有用请求经由过程的应用防火墙，是以避免了有害请求进入处事器。