套用層防火牆

套用層防火牆是在 TCP/IP 堆疊的“套用層”上運作,您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬於這一層。套用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的數據流進到受保護的機器里。

基本介紹

定義,進一步說明,選擇並配置,

定義

套用層網關(Application level gateway),也叫做套用層防火牆或套用層代理防火牆,通常用於描述第三代防火牆。當一個用戶在這個可信賴的網路希望連線到在不被信賴的網路的服務例如網際網路,這個套用專注於在防火牆上的代理伺服器。這個代理伺服器有效地偽裝成在網際網路上的真實伺服器。它評估請求和決定允許或拒絕基於一系列被個人網路服務管理規則的請求。
套用層防火牆
在現代的計算環境中,套用層防火牆日益顯示出其可以減少攻擊面的強大威力。
最初的網路安全不過是使用支持訪問列表路由器來擔任。對簡單的網路而言,僅使用訪問控制列表和一些基本的過濾功能來管理一個網路對於未授權的用戶而言已經足夠。因為路由器位於每個網路的中心,而且這些設備還被用於轉發與廣域網的通信。
路由器僅能工作在網路層,其過濾方式多少年來並沒有根本性的變化。製造路由器的公司也為增強安全性在這一層上也是下足了工夫。更明確地講,所有的安全措施只不過存在於路由器所在的網路層而已。
第三代防火牆稱為套用層防火牆或代理伺服器防火牆,這種防火牆在兩種方向上都有“代理伺服器”的能力,這樣它就可以保護主體和客體,防止其直接聯繫。代理伺服器可以在其中進行協調,這樣它就可以過濾和管理訪問,也可以管理主體和客體發出和接收的內容。這種方法可以通過以各種方式集成到現有目錄而實現,如用戶和用戶組訪問的LDAP
套用層防火牆還能夠仿效暴露在網際網路上的伺服器,因此正在訪問的用戶就可以擁有一種更加快速而安全的連線體驗。事實上,在用戶訪問公開的伺服器時,他所訪問的其實是第七層防火牆所開放的連線埠,其請求得以解析,並通過防火牆的規則庫進行處理。一旦此請求通過了規則庫的檢查並與不同的規則相匹配,就會被傳遞給伺服器。這種連線在是超高速快取中完成的,因此可以極大地改善性能和連線的安全性。
而在OSI模型中,第五層是會話層,第七層是套用層。套用層之上的層為第八層,它在典型情況下就是保存用戶和策略的層次。

進一步說明

OSI是一個網路架構的分層模型。它描述和規定了兩個互聯的系統如何通信。其中,頂層在典型情況下即為“基於代理伺服器的防火牆”所工作的層次。套用層防火牆是第三代防火牆,,這種防火牆可以向下掃描其下的各層。在與會話層防火牆或電路層防火牆比較時,這種套用層防火牆可以集成會話層防火牆的特性和反向代理伺服器等其它高級特性,從而實現更安全的網站訪問。
當今的攻擊已經發展得相當高級,多數會話層防火牆甚至並不能阻止多數基本的套用型攻擊。因此,我們需要向第五層防火牆道別或者用更加安全的“套用層防火牆” 來替換之。
套用層防火牆已經成為那些對法規遵從感興趣的人們談論的熱點話題。支付卡行業數據安全標準(PCI DSS)原來只推薦套用層防火牆作為最佳方式。該標準將要求公司要么安裝這種防火牆,要么進行代碼檢查。
今天,雖然多數機構多少擁有一些邊界防火牆,可以保護網路不受惡意的網際網路信息流的攻擊,但是這些種類的防火牆並不能保護用戶,使其免於受到穿越應用程式的威脅。
據反惡意軟體經銷商Sophos plc和Symantec Corp.的報告稱,最近,套用層防火牆已經出現,它是一種防禦Web套用攻擊的工具。Web應用程式攻擊是一種最常見的入侵類型。傳統的網路防火牆不能檢測到套用攻擊,原因是它們在合法應用程式的開放連線埠上才能起作用。雖然網路防火牆檢查連線埠和packet headers,但是,它們並不能核查應用程式和應用程式數據,它們可以在通過開放防火牆連線埠時,不知不覺地隱藏惡意活動。由於大多數Web信息流通過連線埠80或者連線埠443,而關閉這些連線埠是不現實的。
PCI DSS也已經開始關注套用層防火牆。名聲不太好的Section 6.6涵蓋了Web應用程式安全,號召公司對其應用程式進行代碼核查,或者使用套用層防火牆,來保護用於處理信用卡的代碼。
不幸的是,PCI DSS Section 6.6將應用程式安全解釋為一種非此即彼的命題,但是它遠比這個要複雜得多。套用安全不僅僅是關於代碼核查或者防火牆;在一些情況下,它可以意味著兩者兼而有之。網路安全是關於關閉連線埠和關閉不必要的服務,應用程式安全與此不同,它是有關保護編碼和設計的。
正如任何安全工具或者做法,套用層防火牆應當僅僅被看作是較大規模安全程式的一部分,並不是單一的防禦Web套用攻擊的一種方式。它應當是多層防禦的一種。多層防禦包括套用漏洞、滲透測試以及個軟體開發生命周期中的安全漏洞的代碼核查。

選擇並配置

在考慮套用層防火牆時,每個用戶應該注意四個因素。我們來分別看一下這些因素,以及現在市場上的一些套用層防火牆。
首先,它真的是套用層防火牆嗎?或者僅僅是一種深度信息包檢測器?該區別很重要。為了與PCI一致,它必須是一個真正的套用層防火牆,而不是一個冒名頂替的工具。
一個真正的套用層防火牆可以檢測應用程式的信息流,以防諸如SQL注入或者跨站腳本攻擊(XSS)之類的惡意代碼。當然,這就要求深度信息包檢測,但是深度信息包檢測僅僅查找信息流中諸如惡意軟體間諜軟體之類的攻擊,而無法檢測到通過應用程式傳送的惡意代碼。
傳統的網路防火牆僅僅可以檢測packet headers,與之不同的是,深度信息包檢測可以檢測信息包內部及其內容。這雖然絕對可以增強防火牆的能力,但並不能算作一種防止攻擊的防禦,它仍然有一些局限性。
另一種常見的誤解是將套用層防火牆與網路安全網關內容過濾產品混為一談。不要因為安裝了一個套用層防火牆,就關閉你的Blue Coat、Vontu或者Vericept系統。這兩種產品進行不同的工作。內容過濾產品可以阻止不合適的網站,或者基於Web的電子郵件,這些都可能包含惡意軟體。但是同樣地,它們不能捕獲網路套用攻擊,有時這僅僅是網站內容的一部分。雖然這兩種產品都可以使用URL過濾,但是,套用層防火牆可以在URL中查找惡意代碼:比如XSS攻擊中使用的JavaScript;而內容過濾器僅僅在網路地址本身中查找。
儘管如此,網路安全網關、內容過濾產品和套用層防火牆已經慢慢地融合為統一的工具。該發展是自然而然的,因為許多威脅也已經結合起來並且現在需要多層防禦。比如,雖然該內容過濾器可能會也可能不會阻止惡意站點,但是套用層防火牆會阻止它所攜帶的惡意代碼。

相關詞條

熱門詞條

聯絡我們