應(yīng)用層防火墻選擇并配置

在考慮應(yīng)用層防火墻時(shí)，每個(gè)用戶應(yīng)該注意四個(gè)因素。我們來分別看一下這些因素，以及現(xiàn)在市場(chǎng)上的一些應(yīng)用層防火墻。

首先，它真的是應(yīng)用層防火墻嗎?或者僅僅是一種深度信息包檢測(cè)器?該區(qū)別很重要。為了與PCI一致，它必須是一個(gè)真正的應(yīng)用層防火墻，而不是一個(gè)冒名頂替的工具。

一個(gè)真正的應(yīng)用層防火墻可以檢測(cè)應(yīng)用程序的信息流，以防諸如SQL注入或者跨站腳本攻擊(XSS)之類的惡意代碼。當(dāng)然，這就要求深度信息包檢測(cè)，但是深度信息包檢測(cè)僅僅查找信息流中諸如惡意軟件和間諜軟件之類的攻擊，而無法檢測(cè)到通過應(yīng)用程序發(fā)送的惡意代碼。

傳統(tǒng)的網(wǎng)絡(luò)防火墻僅僅可以檢測(cè)packet headers，與之不同的是，深度信息包檢測(cè)可以檢測(cè)信息包內(nèi)部及其內(nèi)容。這雖然絕對(duì)可以增強(qiáng)防火墻的能力，但并不能算作一種防止攻擊的防御，它仍然有一些局限性。

另一種常見的誤解是將應(yīng)用層防火墻與網(wǎng)絡(luò)安全網(wǎng)關(guān)和內(nèi)容過濾產(chǎn)品混為一談。不要因?yàn)榘惭b了一個(gè)應(yīng)用層防火墻，就關(guān)閉你的Blue Coat、Vontu或者Vericept系統(tǒng)。這兩種產(chǎn)品進(jìn)行不同的工作。內(nèi)容過濾產(chǎn)品可以阻止不合適的網(wǎng)站，或者基于Web的電子郵件，這些都可能包含惡意軟件。但是同樣地，它們不能捕獲網(wǎng)絡(luò)應(yīng)用攻擊，有時(shí)這僅僅是網(wǎng)站內(nèi)容的一部分。雖然這兩種產(chǎn)品都可以使用URL過濾，但是，應(yīng)用層防火墻可以在URL中查找惡意代碼:比如XSS攻擊中使用的JavaScript;而內(nèi)容過濾器僅僅在網(wǎng)絡(luò)地址本身中查找。

盡管如此，網(wǎng)絡(luò)安全網(wǎng)關(guān)、內(nèi)容過濾產(chǎn)品和應(yīng)用層防火墻已經(jīng)慢慢地融合為統(tǒng)一的工具。該發(fā)展是自然而然的，因?yàn)樵S多威脅也已經(jīng)結(jié)合起來并且現(xiàn)在需要多層防御。比如，雖然該內(nèi)容過濾器可能會(huì)也可能不會(huì)阻止惡意站點(diǎn)，但是應(yīng)用層防火墻會(huì)阻止它所攜帶的惡意代碼。

OSI是一個(gè)網(wǎng)絡(luò)架構(gòu)的分層模型。它描述和規(guī)定了兩個(gè)互聯(lián)的系統(tǒng)如何通信。其中，頂層在典型情況下即為"基于代理服務(wù)器的防火墻"所工作的層次。應(yīng)用層防火墻是第三代防火墻，,這種防火墻可以向下掃描其下的各層。在與會(huì)話層防火墻或電路層防火墻比較時(shí)，這種應(yīng)用層防火墻可以集成會(huì)話層防火墻的特性和反向代理服務(wù)器等其它高級(jí)特性，從而實(shí)現(xiàn)更安全的網(wǎng)站訪問。

當(dāng)今的攻擊已經(jīng)發(fā)展得相當(dāng)高級(jí)，多數(shù)會(huì)話層防火墻甚至并不能阻止多數(shù)基本的應(yīng)用型攻擊。因此，我們需要向第五層防火墻道別或者用更加安全的"應(yīng)用層防火墻" 來替換之。

應(yīng)用層防火墻已經(jīng)成為那些對(duì)法規(guī)遵從感興趣的人們談?wù)摰臒狳c(diǎn)話題。支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)原來只推薦應(yīng)用層防火墻作為最佳方式。該標(biāo)準(zhǔn)將要求公司要么安裝這種防火墻，要么進(jìn)行代碼檢查。

今天，雖然多數(shù)機(jī)構(gòu)多少擁有一些邊界防火墻，可以保護(hù)網(wǎng)絡(luò)不受惡意的因特網(wǎng)信息流的攻擊，但是這些種類的防火墻并不能保護(hù)用戶，使其免于受到穿越應(yīng)用程序的威脅。

據(jù)反惡意軟件經(jīng)銷商Sophos plc和Symantec Corp.的報(bào)告稱，最近，應(yīng)用層防火墻已經(jīng)出現(xiàn)，它是一種防御Web應(yīng)用攻擊的工具。Web應(yīng)用程序攻擊是一種最常見的入侵類型。傳統(tǒng)的網(wǎng)絡(luò)防火墻不能檢測(cè)到應(yīng)用攻擊，原因是它們?cè)诤戏☉?yīng)用程序的開放端口上才能起作用。雖然網(wǎng)絡(luò)防火墻檢查端口和packet headers，但是，它們并不能核查應(yīng)用程序和應(yīng)用程序數(shù)據(jù)，它們可以在通過開放防火墻端口時(shí)，不知不覺地隱藏惡意活動(dòng)。由于大多數(shù)Web信息流通過端口80或者端口443，而關(guān)閉這些端口是不現(xiàn)實(shí)的。

PCI DSS也已經(jīng)開始關(guān)注應(yīng)用層防火墻。名聲不太好的Section 6.6涵蓋了Web應(yīng)用程序安全，號(hào)召公司對(duì)其應(yīng)用程序進(jìn)行代碼核查，或者使用應(yīng)用層防火墻，來保護(hù)用于處理信用卡的代碼。

不幸的是，PCI DSS Section 6.6將應(yīng)用程序安全解釋為一種非此即彼的命題，但是它遠(yuǎn)比這個(gè)要復(fù)雜得多。應(yīng)用安全不僅僅是關(guān)于代碼核查或者防火墻;在一些情況下，它可以意味著兩者兼而有之。網(wǎng)絡(luò)安全是關(guān)于關(guān)閉端口和關(guān)閉不必要的服務(wù)，應(yīng)用程序安全與此不同，它是有關(guān)保護(hù)編碼和設(shè)計(jì)的。

正如任何安全工具或者做法，應(yīng)用層防火墻應(yīng)當(dāng)僅僅被看作是較大規(guī)模安全程序的一部分，并不是單一的防御Web應(yīng)用攻擊的一種方式。它應(yīng)當(dāng)是多層防御的一種。多層防御包括應(yīng)用漏洞、滲透測(cè)試以及個(gè)軟件開發(fā)生命周期中的安全漏洞的代碼核查。

應(yīng)用層網(wǎng)關(guān)(Application level gateway)，也叫做應(yīng)用層防火墻或應(yīng)用層代理防火墻，通常用于描述第三代防火墻。當(dāng)一個(gè)用戶在這個(gè)可信賴的網(wǎng)絡(luò)希望連接到在不被信賴的網(wǎng)絡(luò)的服務(wù)例如因特網(wǎng)，這個(gè)應(yīng)用專注于在防火墻上的代理服務(wù)器。這個(gè)代理服務(wù)器有效地偽裝成在因特網(wǎng)上的真實(shí)服務(wù)器。它評(píng)估請(qǐng)求和決定允許或拒絕基于一系列被個(gè)人網(wǎng)絡(luò)服務(wù)管理規(guī)則的請(qǐng)求。

應(yīng)用層防火墻

在現(xiàn)代的計(jì)算環(huán)境中，應(yīng)用層防火墻日益顯示出其可以減少攻擊面的強(qiáng)大威力。

最初的網(wǎng)絡(luò)安全不過是使用支持訪問列表的路由器來擔(dān)任。對(duì)簡(jiǎn)單的網(wǎng)絡(luò)而言，僅使用訪問控制列表和一些基本的過濾功能來管理一個(gè)網(wǎng)絡(luò)對(duì)于未授權(quán)的用戶而言已經(jīng)足夠。因?yàn)槁酚善魑挥诿總€(gè)網(wǎng)絡(luò)的中心，而且這些設(shè)備還被用于轉(zhuǎn)發(fā)與廣域網(wǎng)的通信。

但路由器僅能工作在網(wǎng)絡(luò)層，其過濾方式多少年來并沒有根本性的變化。制造路由器的公司也為增強(qiáng)安全性在這一層上也是下足了工夫。更明確地講，所有的安全措施只不過存在于路由器所在的網(wǎng)絡(luò)層而已。

第三代防火墻稱為應(yīng)用層防火墻或代理服務(wù)器防火墻，這種防火墻在兩種方向上都有"代理服務(wù)器"的能力，這樣它就可以保護(hù)主體和客體，防止其直接聯(lián)系。代理服務(wù)器可以在其中進(jìn)行協(xié)調(diào)，這樣它就可以過濾和管理訪問，也可以管理主體和客體發(fā)出和接收的內(nèi)容。這種方法可以通過以各種方式集成到現(xiàn)有目錄而實(shí)現(xiàn)，如用戶和用戶組訪問的LDAP。

應(yīng)用層防火墻還能夠仿效暴露在互聯(lián)網(wǎng)上的服務(wù)器，因此正在訪問的用戶就可以擁有一種更加快速而安全的連接體驗(yàn)。事實(shí)上，在用戶訪問公開的服務(wù)器時(shí)，他所訪問的其實(shí)是第七層防火墻所開放的端口，其請(qǐng)求得以解析，并通過防火墻的規(guī)則庫進(jìn)行處理。一旦此請(qǐng)求通過了規(guī)則庫的檢查并與不同的規(guī)則相匹配，就會(huì)被傳遞給服務(wù)器。這種連接在是超高速緩存中完成的，因此可以極大地改善性能和連接的安全性。

而在OSI模型中，第五層是會(huì)話層，第七層是應(yīng)用層。應(yīng)用層之上的層為第八層，它在典型情況下就是保存用戶和策略的層次。

一個(gè)個(gè)人防火墻, 通常軟件應(yīng)用過濾信息進(jìn)入或留下。一臺(tái)電腦和一個(gè)傳統(tǒng)防火墻通常跑在一臺(tái)專用的網(wǎng)絡(luò)設(shè)備或電腦被安置在兩個(gè)或更多網(wǎng)絡(luò)或DMZs (解除軍事管制區(qū)域) 界限。 這樣防火墻過濾所有信息進(jìn)入或留下被連接的網(wǎng)絡(luò)。 后者定義對(duì)應(yīng)于"防火墻" 的常規(guī)意思在網(wǎng)絡(luò), 和下面會(huì)談?wù)勥@類型防火墻。

以下是兩個(gè)主要類型防火墻: 網(wǎng)絡(luò)層防火墻和 應(yīng)用層防火墻。 這兩類型防火墻也許重疊; 的確, 單一系統(tǒng)會(huì)兩個(gè)一起實(shí)施。

網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過濾器，運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)"否定規(guī)則"就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如:來源 IP 地址、來源端口號(hào)、目的 IP 地址或端口號(hào)、服務(wù)類型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進(jìn)行過濾。

應(yīng)用層防火墻

應(yīng)用層防火墻是在 TCP/IP 堆棧的"應(yīng)用層"上運(yùn)作，您使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。

防火墻借由監(jiān)測(cè)所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實(shí)現(xiàn)而言，這個(gè)方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會(huì)考慮以這種方法設(shè)計(jì)。

XML 防火墻是一種新型態(tài)的應(yīng)用層防火墻。

代理服務(wù)

代理服務(wù)設(shè)備(可能是一臺(tái)專屬的硬件，或只是普通機(jī)器上的一套軟件)也能像應(yīng)用程序一樣回應(yīng)輸入封包(例如連接要求)，同時(shí)封鎖其他的封包，達(dá)到類似于防火墻的效果。

代理由外在網(wǎng)絡(luò)使竄改一個(gè)內(nèi)部系統(tǒng)更加困難, 并且一個(gè)內(nèi)部系統(tǒng)誤用不一定會(huì)導(dǎo)致一個(gè)安全漏洞可開采從防火墻外面(只要應(yīng)用代理剩下的原封和適當(dāng)?shù)乇慌渲? 。 相反地, 入侵者也許劫持一個(gè)公開可及的系統(tǒng)和使用它作為代理人為他們自己的目的; 代理人然后偽裝作為那個(gè)系統(tǒng)對(duì)其它內(nèi)部機(jī)器。 當(dāng)對(duì)內(nèi)部地址空間的用途加強(qiáng)安全, 破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對(duì)目標(biāo)網(wǎng)絡(luò)。

防火墻經(jīng)常有網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT) 的功能, 并且主機(jī)被保護(hù)在防火墻之后共同地使用所謂的"私人地址空間", 依照被定義在[RFC 1918] 。 管理員經(jīng)常設(shè)置了這樣情節(jié)在努力(無定論的有效率) 假裝內(nèi)部地址或網(wǎng)絡(luò)。

防火墻的適當(dāng)?shù)呐渲靡蠹记珊椭悄堋?它要求管理員對(duì)網(wǎng)絡(luò)協(xié)議和電腦安全有深入的了解。 因小差錯(cuò)可使防火墻不能作為安全工具.

7層防火墻是在應(yīng)用層工作的防火墻,它實(shí)時(shí)監(jiān)控保護(hù)系統(tǒng)各個(gè)方面的行為。保護(hù)系統(tǒng)的安全運(yùn)行,有效的保證系統(tǒng)的正常運(yùn)行,有網(wǎng)絡(luò)系統(tǒng)安全中有良好的表現(xiàn).

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

在具體應(yīng)用防火墻技術(shù)時(shí)，還要考慮到兩個(gè)方面:

一是防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個(gè)功能。 二是防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題，如果延遲太大將無法支持實(shí)時(shí)服務(wù)請(qǐng)求。并且，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購置高速路由器，又會(huì)大大提高經(jīng)濟(jì)預(yù)算。

總之，防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對(duì)防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。