在過(guò)去的10年中，許多企業(yè)在網(wǎng)絡(luò)和周邊安全上進(jìn)行了大量的投入。各組織均加強(qiáng)了他們的控制措施并且進(jìn)入防御狀態(tài)，極大地限制了黑客的網(wǎng)絡(luò)掃描攻擊的有效性。不幸的是，當(dāng)安全專(zhuān)家們還在忙于建立網(wǎng)絡(luò)控制措施時(shí)，攻擊者們已經(jīng)開(kāi)始著手開(kāi)發(fā)新的技術(shù)去攻擊下一個(gè)致命的弱點(diǎn)：應(yīng)用層。

近期Gartner公司的調(diào)查顯示，目前成功的攻擊案例中有75%發(fā)生在應(yīng)用層。由此產(chǎn)生了更可怕的預(yù)測(cè)：到2009年，80%的企業(yè)將成為應(yīng)用層攻擊的受害者。

為什么這些攻擊這么有效？答案非常簡(jiǎn)單：它們繞過(guò)了過(guò)去10年中安全人員實(shí)施的所有以網(wǎng)絡(luò)為中心的控制措施，例如端口禁用。以Web應(yīng)用攻擊為例，傳統(tǒng)防火墻為了保護(hù)Web服務(wù)器所包含的規(guī)則是通過(guò)阻止所有非預(yù)期數(shù)據(jù)流，僅允許TCP流量通過(guò)80和443端口。不幸的是，防火墻不能區(qū)分出80端口中的哪些數(shù)據(jù)流是預(yù)期數(shù)據(jù)流，哪些是非預(yù)期的。

此時(shí)就出現(xiàn)了應(yīng)用層防火墻。這些防火墻會(huì)在Web服務(wù)器之前的應(yīng)用層對(duì)HTTP流量進(jìn)行檢查。這些設(shè)備可以檢測(cè)一個(gè)鏈接，分析用戶(hù)對(duì)應(yīng)用程序發(fā)出的命令。然后就可以分析出哪些是已知攻擊，哪些是標(biāo)準(zhǔn)應(yīng)用的演變。

雖然應(yīng)用層防火墻有很大的發(fā)展?jié)摿?，但是?yīng)當(dāng)適度并且有意識(shí)的進(jìn)行部署。在網(wǎng)絡(luò)防火墻進(jìn)入企業(yè)的最初階段，實(shí)施的經(jīng)理們普遍采取了謹(jǐn)慎的方式對(duì)待這些項(xiàng)目，他們進(jìn)行了仔細(xì)的分析和大量的測(cè)試。在部署Web應(yīng)用層防火墻時(shí)我們也應(yīng)該采取同樣的方式。仔細(xì)的測(cè)試為組織的應(yīng)用開(kāi)發(fā)人員建立信心，作為負(fù)責(zé)變更的安全經(jīng)理也可以很有底氣的說(shuō)這項(xiàng)技術(shù)給企業(yè)帶來(lái)的幫助將遠(yuǎn)遠(yuǎn)大于給他們?cè)黾拥墓ぷ髫?fù)擔(dān)。

一旦組織準(zhǔn)備將該產(chǎn)品應(yīng)用到生產(chǎn)環(huán)境中時(shí)，就應(yīng)當(dāng)開(kāi)始考慮一個(gè)穩(wěn)定的防火墻規(guī)則基礎(chǔ)了。下面是如何在組織中建立和部署應(yīng)用層防火墻規(guī)則基礎(chǔ)的步驟：

1．有一段足夠長(zhǎng)的調(diào)整期。當(dāng)今的應(yīng)用層防火墻擁有復(fù)雜的功能去監(jiān)控?cái)?shù)據(jù)流并且學(xué)習(xí)正?；顒?dòng)的模式。一段時(shí)間后，防火墻被“訓(xùn)練”得能識(shí)別出這些活動(dòng)模式從而阻止非正常數(shù)據(jù)流。然而，防火墻需要有足夠長(zhǎng)的訓(xùn)練時(shí)間，這樣規(guī)則基礎(chǔ)才能反映出周期性和季節(jié)性的網(wǎng)絡(luò)活動(dòng)趨勢(shì)。例如，電子商務(wù)零售商肯定不想在夏天這個(gè)銷(xiāo)售淡季去訓(xùn)練防火墻保護(hù)其網(wǎng)站，然后在冬天這個(gè)銷(xiāo)售旺季部署規(guī)則基礎(chǔ)。

2．開(kāi)發(fā)出適用于企業(yè)的個(gè)性化規(guī)則。對(duì)組織基礎(chǔ)設(shè)施的了解是非常重要的，對(duì)防火墻進(jìn)行個(gè)性化設(shè)置以滿(mǎn)足公司的特殊需要可以極大的提高這些工具的效果。例如，如果在一個(gè)應(yīng)用環(huán)境中僅有一個(gè)Web應(yīng)用應(yīng)該接受文件上傳，規(guī)則中就應(yīng)當(dāng)完全阻止PUT命令（用于上傳文件的HTTP命令）在其他系統(tǒng)中使用。

3．以被動(dòng)模式進(jìn)行初次運(yùn)行。對(duì)于規(guī)則基礎(chǔ)的測(cè)試通常要求“軟著陸”。在這樣的策略下，防火墻上線(xiàn)時(shí)將按照建議的規(guī)則設(shè)置。接下來(lái)將在監(jiān)控模式下運(yùn)行，但并不阻止任何數(shù)據(jù)流。在防火墻正式進(jìn)入激活模式前，應(yīng)當(dāng)花些時(shí)間去評(píng)估那些違反防火墻規(guī)則的數(shù)據(jù)流。負(fù)責(zé)實(shí)施的責(zé)任人還應(yīng)在正式上線(xiàn)前調(diào)整防火墻的誤判率。程序員們向來(lái)不喜歡安保系統(tǒng)破壞他們的應(yīng)用程序，這無(wú)疑會(huì)更加影響跟他們之間的關(guān)系。

4．監(jiān)視，監(jiān)視，監(jiān)視。一旦防火墻被激活使用，就應(yīng)當(dāng)認(rèn)真地監(jiān)控。被阻止的數(shù)據(jù)流記錄會(huì)提供非常重要的線(xiàn)索。被阻止的攻擊可以向管理者顯示出他們安全投資的回報(bào)。此外，可能仍然存在誤判的情況，但它們可以幫助調(diào)整規(guī)則基礎(chǔ)。

就像網(wǎng)絡(luò)防火墻一樣，應(yīng)用層防火墻也不是萬(wàn)靈藥?？梢允褂肳ebInspect和AppScan之類(lèi)的工具來(lái)檢測(cè)Web應(yīng)用的漏洞。作為補(bǔ)充，定期進(jìn)行滲透性測(cè)試也是一項(xiàng)可靠的防護(hù)策略，且能打消許多安全專(zhuān)家們對(duì)Web應(yīng)用的顧慮。

【編輯推薦】

1. 霧里看花 如何選擇真正的萬(wàn)兆防火墻
2. 應(yīng)運(yùn)而生 下一代防火墻“給力”
3. 動(dòng)態(tài)管理防火墻 firewalld
4. 變廢為寶：將舊電腦改造成強(qiáng)勁的防火墻和路由器