随着互联网技术的迅猛发展,云计算、大数据、物联网、人工智能等新型技术应用已经渗透到各个行业和领域中,使得传统行业都得以快速互联网化。互联网已成为人们生产和生活的重要入口,人们在互联网上获取信息和服务,享受互联网红利时,难免会通过信息共享的方式将个人信息、商业机密等信息泄露出去。这使得信息安全问题日益严峻。近年来,各类网站面临的安全问题大量涌现,网站系统需要应对和处置的安全隐患与漏洞越来越多,国内网站安全事故频发,已对我国社会和互联网经济造成一定影响。本论文主要从实际应用的角度出发,针对中小企业门户网站的常见Web应用攻击特征,进行分析并设计适用于门户网站的Web应用防火墙(WAF:Web Application Firewall),以应对网站的Web应用攻击。本论文首先阐述了近年来国内外发生的重大网络安全攻击事件,介绍国内外对应和防御Web应用攻击的研究现状。深入研究三种常见的Web应用攻击,包括SQL注入、XSS跨站脚本攻击和CSRF跨站请求伪造攻击,详细剖析各自的攻击原理和相对应的攻击防御措施。通过对不同类型的防火墙做横向对比和分析,总结每种防火墙的特点和适用范围。之后对WAF的主要类型和工作原理和做了细致的分析。针对中小企业门户网站的特点,设计了一套以OpenResty平台Lua_nginx模块为原型的Web应用安全防护系统。通过对Lua_nginx模块进行重新设计和改写,给出了一套适用于门户网站的WAF系统方案。最后在公有云平台中搭建的虚拟化WAF实验平台,验证WAF抵御以上三种Web应用攻击的能力。实验结果表明本论文设计的WAF对中小企业门户网站有一定的保护能力,符合设计目标。