随着Web2.0时代的发展,许多政府、学校和企业的关键业务活动越来越多地依赖于Web应用,然而,在向客户提供简便服务的同时,Web应用所面临的风险也越来越大。据最权威的RSA大会研究显示,Web应用的安全问题已超过所有以前网络层的安全问题,逐渐成为最严重、最广泛、危害性最大的安全问题,所以如何在应用层保护Intranet的安全也成为人们越来越关注的问题。Web应用防火墙(Web Application Firewall,简称：WAF)是通过执行一系列针对HTTP/HTTPS的安全策略来专门提供对Web应用的保护的一种防火墙。ModSecurity是由开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)组织开发和更新的一款开源的Web应用防火墙,而为了让它能更好的保护Intranet,对它的防御功能的加强和其规则库的精简是十分必要的。本文在深入研究Web应用防火墙中著名的开源项目ModSecurity的基础上,结合传统网络层防御设备,以校园网络为例,给出了Web应用防火墙的具体部署方案设计,主要展开了以下几方面的工作：1、深入分析几种主流的应用层攻击,包括应用层DOS攻击、SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击,阐述了它们各自的攻击原理和相应的攻击特征,并从网络层和应用层两方面分析研究规避基于网络的IDS的技术。2、以ModSecurity为原型,深入分析Web应用防火墙的请求处理流程,总结其请求处理的五个阶段和相应的钩子函数,在此基础上,通过在钩子点process_connection处编写钩子函数的方式,来对超时的请求进行计数,结合Apche2.3.x本身的请求处理特点,实现对Slowloris攻击的有效检测和阻断。3、以校园网络为例,针对校园网络中的一些特点,结合网络层防火墙和Web应用防火墙本身的特点,设计了一套相对经济有效的Web应用防火墙的部署方案,并分析这种部署方案的优缺点,根据校园网络的特点精简了Web应用防火墙针对各类应用层攻击的规则,提高了其规则匹配的效率。4、针对Apache中因错误回应畸形Range选项而产生的远程拒绝服务漏洞,编写相应的规则来修补这个漏洞。本文以开源的ModSecurity项目为基础,结合传统防御设备设计了Web应用防火墙在校园网络中的部署方案,能较好地保护校园网络的安全,特别是以前很少关注但又经常引发状况的应用层的安全,对今后保护Intranet中的Web应用的安全具有一定的参考价值。