M ạng riêng ảo làm ạng dành riêng, để kết nối các máy tính của các tổ chức với nhau thông qua mạng Internet công cộng.
1) Kiểm tra “chiều sâu” (Deep inspection).
Sự phát triển của công nghệ kiểm tra “sâu” diễn ra như sau: + Công nghệ lọc gói tin (1985):
Dựa trên việc sử dụng các danh sách kiểm soát truy nhập, để thực hiện việc cho phép hay từ chối các dòng dữ liệu, căn cứ vào các thông tin trong gói IP của dữ liệu nhưđịa chỉ nguồn, địa chỉ đích.
+ Công nghệ kiểm tra trạng thái (1993):
Bổ sung thêm tính năng mới đó là ngăn chặn việc tấn công dựa trên các thông tin của tầng TCP như việc tách và ghép lại các gói tin.
+ Kiểm tra “chiều sâu” (2003):
Tích hợp cả hai công nghệ trên để xử lí các dòng ứng dụng và bảo vệ các tài nguyên khỏi sự tấn công.
Các cơ sở của công nghệ kiểm tra “deep”: + Mã hóa/giải mã tầng ứng dụng:
Các dòng dữ liệu ứng dụng thường được các hacker mã hóa SSL khi truyền trên mạng nhằm tránh được sự kiểm tra của hệ thống. Nhờ có khả năng
mã hóa, giải mã, WAF có thể nhìn được bên trong các dòng dữ liệu để loại bỏ các yếu tố tấn công nằm trong đó.
+ Chuẩn hóa:
Các ứng dụng được mã hóa bởi nhiều định dạng khác nhau như unicode, URL. Nếu định dạng của một đoạn mã nguy hiểm khác với dấu hiệu nhận dạng nó sẽ không thể phát hiện được. WAF thực hiện chuẩn hóa các kiểu mã nên khắc phục được điểm yếu trên.
+ Sự phù hợp giao thức:
Các dữ liệu ứng dụng được đóng gói theo các giao thức khác nhau như: HTTP, SMTP, ... Các hacker sẽ chèn thêm những đoạn mã lạ vào các gói dữ liệu nhằm tạo ra các bất ổn cho server. WAF kiểm tra các định dạng này để phát hiện ra các đoạn mã lạ không cho chúng đến server nhằm đảm bảo tính phù hợp của giao thức.
+ Kiểm tra 2 chiều:
Các thông điệp đàm thoại trên mạng phải có sự phù hợp với nhau về các thông số dữ liệu. WAF sẽ kiểm tra sự phù hợp giữa các tham số theo hai chiều của đàm thoại để phát hiện ra các cuộc tấn công và dữ liệu trong khi đàm thoại diễn ra.