在現(xiàn)代的計(jì)算環(huán)境中，應(yīng)用層防火墻日益顯示出其可以減少攻擊面的強(qiáng)大威力。最初的網(wǎng)絡(luò)安全不過是使用支持訪問列表的路由器來?yè)?dān)任。對(duì)簡(jiǎn)單的網(wǎng)絡(luò)而言，僅使用訪問控制列表和一些基本的過濾功能來管理一個(gè)網(wǎng)絡(luò)對(duì)于未授權(quán)的用戶而言已經(jīng)足夠。因?yàn)槁酚善魑挥诿總€(gè)網(wǎng)絡(luò)的中心，而且這些設(shè)備還被用于轉(zhuǎn)發(fā)與廣域網(wǎng)的通信。

但路由器僅能工作在網(wǎng)絡(luò)層，其過濾方式多少年來并沒有根本性的變化。制造路由器的公司也為增強(qiáng)安全性在這一層上也是下足了工夫。更明確地講，所有的安全措施只不過存在于路由器所在的網(wǎng)絡(luò)層而已。

會(huì)話層防火墻也稱為電路級(jí)防火墻或電路網(wǎng)關(guān)。這種電路級(jí)防火墻使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）來保護(hù)內(nèi)部網(wǎng)絡(luò)，而這些網(wǎng)關(guān)幾乎沒有或根本沒有與應(yīng)用層的連接，所以它們也就不能過濾更復(fù)雜的連接。這種防火墻只能根據(jù)基本的規(guī)則（如源地址端口）來保護(hù)數(shù)據(jù)通信。

隨著技術(shù)的發(fā)展和進(jìn)步，人們需要管理外發(fā)的數(shù)據(jù)通信，需要進(jìn)行過濾。用戶們可以瀏覽互聯(lián)網(wǎng)，并且可以利用內(nèi)部防御系統(tǒng)中的漏洞，因?yàn)閻阂庥脩艨梢詫⒆约簜窝b成一個(gè)合法的用戶。

用戶可以通過遠(yuǎn)程登錄到一個(gè)開放的外發(fā)端口，而此端口并不是一個(gè)telnet端口（從23號(hào)端口登錄到80號(hào)端口），這意味著用戶可以輕易地繞過第五層設(shè)備的安全防御。支持訪問列表的路由器會(huì)準(zhǔn)許用戶連接到一個(gè)端口上，雖然此端口并不是遠(yuǎn)程登錄端口，而是另外一種服務(wù)的端口。這意味著路由器在數(shù)據(jù)包通過時(shí)并沒有實(shí)施檢查。由此便造成惡意數(shù)據(jù)包可以在網(wǎng)絡(luò)上傳輸。

在上個(gè)世紀(jì)的90年代，主流的代理服務(wù)器登上了舞臺(tái)，它集成了基本的防火墻技術(shù)。這種“代理服務(wù)器防火墻”能夠劫獲源主機(jī)和目標(biāo)主機(jī)之間的通信。因?yàn)椤按矸?wù)器防火墻”位于中間的位置，所以它擁有根據(jù)預(yù)先定義的規(guī)則集來檢查數(shù)據(jù)包的能力。

傳統(tǒng)會(huì)話層防火墻技術(shù)的局限

會(huì)話層防火墻工作在第五層。在上個(gè)世紀(jì)的90年代，這種技術(shù)對(duì)于保護(hù)網(wǎng)絡(luò)是足夠的。但是，隨著攻擊發(fā)展到應(yīng)用層，以及互聯(lián)網(wǎng)的增長(zhǎng)，會(huì)話層防火墻的功能不再是足夠的。其結(jié)果是沒有應(yīng)用層保護(hù)機(jī)制的防火墻將導(dǎo)致錯(cuò)誤的配置， 而且操作系統(tǒng)的漏洞會(huì)直接暴露到互聯(lián)網(wǎng)上，這是由于所有的會(huì)話層防火墻通過提供一張路由表和訪問控制列表而提供一種基本的保護(hù)措施。

在會(huì)話層防火墻上的一些小進(jìn)步使得防火墻可以在更深的層次上檢查常見協(xié)議的數(shù)據(jù)包，不過，用metasploit和backtrack等工具很容易就可以繞過這些措施。在今天的網(wǎng)絡(luò)環(huán)境中，唯一的選擇是安裝一個(gè)應(yīng)用層防火墻，它不僅僅可以實(shí)施ACL及目標(biāo)端口等的檢查。在與現(xiàn)代的應(yīng)用程序交互時(shí)，進(jìn)行更深的數(shù)據(jù)包檢查、狀態(tài)連接管理、應(yīng)用層過濾是至關(guān)重要的功能。因此，許多重視安全性的單位在面臨會(huì)話層和應(yīng)用層防火墻的選擇時(shí)，會(huì)堅(jiān)定地選擇后者。

應(yīng)用層防火墻技術(shù)

第三代防火墻稱為應(yīng)用層防火墻或代理服務(wù)器防火墻，這種防火墻在兩種方向上都有“代理服務(wù)器”的能力，這樣它就可以保護(hù)主體和客體，防止其直接聯(lián)系。代理服務(wù)器可以在其中進(jìn)行協(xié)調(diào)，這樣它就可以過濾和管理訪問，也可以管理主體和客體發(fā)出和接收的內(nèi)容。這種方法可以通過以各種方式集成到現(xiàn)有目錄而實(shí)現(xiàn)，如用戶和用戶組訪問的LDAP。

應(yīng)用層防火墻還能夠仿效暴露在互聯(lián)網(wǎng)上的服務(wù)器，因此正在訪問的用戶就可以擁有一種更加快速而安全的連接體驗(yàn)。事實(shí)上，在用戶訪問公開的服務(wù)器時(shí)，他所訪問的其實(shí)是第七層防火墻所開放的端口，其請(qǐng)求得以解析，并通過防火墻的規(guī)則庫(kù)進(jìn)行處理。一旦此請(qǐng)求通過了規(guī)則庫(kù)的檢查并與不同的規(guī)則相匹配，就會(huì)被傳遞給服務(wù)器。這種連接在是超高速緩存中完成的，因此可以極大地改善性能和連接的安全性。

而在OSI模型中，第五層是會(huì)話層，第七層是應(yīng)用層。應(yīng)用層之上的層為第八層，它在典型情況下就是保存用戶和策略的層次。

關(guān)于OSI的進(jìn)一步說明

OSI是一個(gè)網(wǎng)絡(luò)架構(gòu)的分層模型。它描述和規(guī)定了兩個(gè)互聯(lián)的系統(tǒng)如何通信。其中，頂層在典型情況下即為“基于代理服務(wù)器的防火墻”所工作的層次。應(yīng)用層防火墻是第三代防火墻，這種防火墻可以向下掃描其下的各層。在與會(huì)話層防火墻或電路層防火墻比較時(shí)，這種應(yīng)用層防火墻可以集成會(huì)話層防火墻的特性和反向代理服務(wù)器等其它高級(jí)特性，從而實(shí)現(xiàn)更安全的網(wǎng)站訪問。

當(dāng)今的攻擊已經(jīng)發(fā)展得相當(dāng)高級(jí)，多數(shù)會(huì)話層防火墻甚至并不能阻止多數(shù)基本的應(yīng)用型攻擊。因此，我們需要向第五層防火墻道別或者用更加安全的“應(yīng)用層防火墻” 來替換之。

小結(jié)

不管我們?nèi)绾螌?duì)過去的老技術(shù)念念不忘，總不能忽視更新的防火墻面孔和更新的防火墻技術(shù)方法。安全專家們受到了前所未有的挑戰(zhàn)，這種挑戰(zhàn)來自于學(xué)會(huì)了如何加密其數(shù)據(jù)通信以逃避管理的用戶。那么，我們的解決方案就應(yīng)當(dāng)是實(shí)施應(yīng)用層防火墻，它應(yīng)當(dāng)能夠?qū)用艿臄?shù)據(jù)流進(jìn)行掃描?；ヂ?lián)網(wǎng)的風(fēng)景很精彩，但更需要我們認(rèn)識(shí)到的是，一些更加結(jié)構(gòu)化的應(yīng)用層攻擊正不斷地“嶄露頭角”并興風(fēng)作浪，對(duì)付這種新威脅的唯一制勝之道便是實(shí)施更加精密復(fù)雜的應(yīng)用層防火墻。

【編輯推薦】

1. 正確看待虛擬化安全與虛擬防火墻
2. 防火墻加web應(yīng)用防火墻解決趙明問題