問：為什么代理防火墻適用于應(yīng)用安全？

答：我認(rèn)為描述應(yīng)用代理防火墻好處的最好方式是看其它防火墻技術(shù)的缺點。有三類常見的防火墻：包過濾防火墻，基于狀態(tài)檢查的防火墻或電路級網(wǎng)關(guān)，代理防火墻或應(yīng)用級網(wǎng)關(guān)。所有這三類防火墻對比規(guī)則分析進(jìn)入的數(shù)據(jù)包然后決定是阻攔還是允許這些數(shù)據(jù)包通過，但是從分析數(shù)據(jù)包的層面可以區(qū)分它們。

包過濾亦稱網(wǎng)絡(luò)層防火墻運行在OSI（開發(fā)系統(tǒng)互聯(lián)）模型的第3層，并且位于進(jìn)入和外出網(wǎng)絡(luò)流量之間能夠?qū)⒔M織的網(wǎng)絡(luò)和其它網(wǎng)絡(luò)域分離開來。這類防火墻檢測每個數(shù)據(jù)包的頭信息，并且通過將數(shù)據(jù)包的源、目的地址、網(wǎng)絡(luò)端口、協(xié)議類型和一套規(guī)則進(jìn)行對比來阻攔或允許它通過。這類“無狀態(tài)”的防火墻單獨地基于每個數(shù)據(jù)包中包含的信息來決策，無法知曉任何流量模式或數(shù)據(jù)流。這使得它們很容易受到欺騙攻擊和其它基于協(xié)議的網(wǎng)絡(luò)攻擊。

為了在一個更大的網(wǎng)絡(luò)通信會話環(huán)境中評估每個數(shù)據(jù)包，運行于OSI模型第5層的狀態(tài)防火墻記錄通過它們的所有連接。通過追蹤網(wǎng)絡(luò)連接的狀態(tài)它們擁有更多的完整信息，并且可以丟棄那些與已知連接狀態(tài)不匹配的數(shù)據(jù)包。盡管狀態(tài)防火墻能夠阻攔許多網(wǎng)絡(luò)協(xié)議級的攻擊，它們不能檢查穿梭于應(yīng)用和用戶之間的每個數(shù)據(jù)包包含的實際負(fù)載。這樣就允許畸形或不期望的數(shù)據(jù)傳輸并且利用特定應(yīng)用的漏洞例如緩沖區(qū)溢出或SQL注入。

運行于OSI模型第7層的應(yīng)用代理防火墻有更高級的檢測能力。這類防火墻實際上不允許數(shù)據(jù)包直接在應(yīng)用程序和用戶之間傳遞。相反所有的流量被攔截然后通過代理連接來傳遞。這意味著有兩個網(wǎng)絡(luò)連接：一個在用戶和代理服務(wù)器之間，另一個在代理服務(wù)器和應(yīng)用程序之間。代理防火墻雙向地接收、檢查和轉(zhuǎn)發(fā)客戶端和應(yīng)用之間的所有流量。防火墻位于邏輯連接的中間，這允許它檢測網(wǎng)絡(luò)流量包括負(fù)載，并在應(yīng)用層級檢查任何可疑活動。

不像包過濾防火墻那樣，代理防火墻理解它保護(hù)的應(yīng)用，所以能夠阻攔禁止的命令，例如危險的SQL命令或畸形請求（如嘗試引發(fā)緩沖區(qū)溢出）。此外，能夠在數(shù)據(jù)傳給用戶前分析離開網(wǎng)絡(luò)的流量并且攔截任何敏感數(shù)據(jù)。所有這些網(wǎng)絡(luò)流量的數(shù)據(jù)包頭和負(fù)載的詳盡信息也可以被記錄，以便提供更好的審計。通過改變防火墻的規(guī)則集能夠?qū)Ω稇?yīng)用的新威脅。這比對應(yīng)用本身進(jìn)行修改更加快捷和容易。其它優(yōu)勢還包括對位于防火墻之后的系統(tǒng)提供匿名保護(hù)，同時以一個分開的進(jìn)程和內(nèi)存空間隔離開安全檢查。這個級別的過濾為保護(hù)數(shù)據(jù)、業(yè)務(wù)邏輯和應(yīng)用免于設(shè)計上的缺陷提供了一層額外的安全防護(hù)。

【編輯推薦】

1. 區(qū)別應(yīng)用代理防火墻和網(wǎng)關(guān)服務(wù)器防火墻
2. 網(wǎng)絡(luò)安全之防火墻概念與訪問控制列表