雖然25年來防火墻一直是Internet連接網(wǎng)絡(luò)的主要安全方式，但是在這段時期，攻擊者已經(jīng)盯上了協(xié)議棧，繞過操作系統(tǒng)或TCP/IP協(xié)議，直接瞄上了實現(xiàn)現(xiàn)代分布式web應(yīng)用的HTTP、HTML和XML協(xié)議。因此，為了更全面有效地進行防護，將較低層的防火墻與智能應(yīng)用層防火墻整合到一起顯得至關(guān)重要。

應(yīng)用層防火墻能為檢測到的31種不同的應(yīng)用程序應(yīng)用策略

到底什么是應(yīng)用程序呢——或者說必須保護什么？幾乎所有的一切都是基于Web的，因此這并不涉及到TCP端口（所有的端口都是80或者443）的問題。同時也不是URL的問題，因為大量的東西都可以全部堆放到一個網(wǎng)站或者頁面上。諸如Facebook和Google的平臺都包含了幾十個甚至上百個所謂的應(yīng)用程序，其中包括聊天、視頻、郵件、游戲、電子表格、調(diào)查、文件轉(zhuǎn)換等等。因此，具備應(yīng)用智能的防火墻必須能夠在一個Web頁面平臺上識別不同的特性和功能，同時根據(jù)不同應(yīng)用程序應(yīng)用政策。如果一個應(yīng)用程序的功能存在不同的安全隱患，如不同的風(fēng)險配置，那么防火墻必須依據(jù)具體情況進行處理。

最復(fù)雜和最快速變化的流量是用戶發(fā)起的Web會話，這是新型應(yīng)用程序和威脅可能在Internet上某個地方出現(xiàn)的位置，這種會話在快速受到廣泛歡迎的同時也引起了攻擊者的關(guān)注。基于Web應(yīng)用程序已經(jīng)不再受企業(yè)IT的控制，并且成為了創(chuàng)新的溫床。在一個表面上看起來有益的網(wǎng)站上，一個小小的修改就能夠?qū)⑵滢D(zhuǎn)換成極好的新型攻擊衍生地。例如，一個廣受推崇的新聞網(wǎng)站可能會突然間變得很危險，因為這個附加的讀者聊天室可能會帶來用戶生成并很可能將很危險的內(nèi)容帶進網(wǎng)站。

公司同時還必須應(yīng)對通過Web交付，并且是和合作伙伴、供應(yīng)商及客戶結(jié)合使用的企業(yè)應(yīng)用程序。在此，基于XML協(xié)議，如SOAP和REST都可以用于連接Enterprise Resource Planning (ERP)、Supply Chain Management (SCM)，以及各種縱向的計費和與金融相關(guān)的應(yīng)用程序，如銀行、制造業(yè)、能源、運輸?shù)取；赬ML協(xié)議幾乎可以任意復(fù)雜的層次，并且可以直接綁定到業(yè)務(wù)流程，因此會導(dǎo)致出現(xiàn)罕見的安全風(fēng)險。

為何無法使用一種類型的防火墻應(yīng)對所有威脅？

如果公司必須防范低級別的攻擊、基于Web攻擊和應(yīng)用整合流量攻擊，那么可否安裝一種防火墻來達到一勞永逸的效果呢？為何無法將所有必須的功能都統(tǒng)一到一個設(shè)備中呢？答案很簡單，因為打開、檢查和識別每個輸入或者輸出企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量流需要花費大量的處理能力。應(yīng)用層的智能與性能之間存在一個折中的常數(shù)。防火墻對流量太過于繁冗的防護會導(dǎo)致延遲，并且無法按照要求實現(xiàn)足夠快速的處理速度。而過于簡單的防護則可能漏掉一些重要的威脅。

將應(yīng)用感知防火墻與其他網(wǎng)絡(luò)安全防火墻整合到一起

為了實現(xiàn)平衡，公司可以在不同的網(wǎng)絡(luò)層上安裝特定的防火墻。低級別的網(wǎng)絡(luò)防火墻可以過濾大量的捆綁流量，如緩存端口掃描、拒絕服務(wù)和其他低級別網(wǎng)絡(luò)攻擊。通過應(yīng)用了解當(dāng)前復(fù)雜Web應(yīng)用的精細策略，使用戶流量通過一個應(yīng)用層防火墻，從而控制可接受的使用和風(fēng)險。應(yīng)用網(wǎng)關(guān)或者XML防火墻可以攔截往返于合作伙伴的企業(yè)整合流量流，同時檢查XML模式和內(nèi)容、確認簽名和加密/解密流量。

每個不同類型的流量都面臨不同的風(fēng)險，同時具備不同的性能特征。安全專家必須根據(jù)每一種情況對性能和審查深度進行正確的權(quán)衡，并選擇正確的解決方案：一個專門控制10Gb/秒內(nèi)部網(wǎng)絡(luò)的以數(shù)據(jù)為中心的防火墻與針對用戶流量的Internet上行鏈路防火墻或者針對加密和XML優(yōu)化的DMZ合作伙伴防火墻是截然不同的。

經(jīng)過近25年的發(fā)展，防火墻繼續(xù)位于安全的第一線。但這僅僅是因為“防火墻”這個詞已經(jīng)涵蓋了各種不同類型的安全設(shè)備，并且每種類型都各有不同的用途。最重要的安全考慮是選擇正確的防火墻來處理不同類型的流量。

【編輯推薦】

1. 解讀Web應(yīng)用防火墻
2. WEB應(yīng)用防火墻之前世今生——緣起
3. 評論：防范互聯(lián)網(wǎng)新威脅須采用應(yīng)用層防火墻
4. 采用應(yīng)用層防火墻來防范互聯(lián)網(wǎng)新威脅