你的企業(yè)網(wǎng)絡(luò)第7層保護現(xiàn)在處于什么狀態(tài)?奇怪的是，應(yīng)用控制仍然是最難處理的網(wǎng)絡(luò)邊界，少數(shù)組織仍然必須使用一些有十多年歷史的傳統(tǒng)內(nèi)容過濾系統(tǒng)和防火墻技術(shù)。

[[114916]]

然而，在今年的RSA大會上，思科發(fā)布了一個開源Snort入侵檢測系統(tǒng)引擎，它旨在成為一個有效的應(yīng)用層安全工具。它的名稱是OpenAppID。

雖然OpenAppID聽起來很不錯，但它仍然是一個新產(chǎn)品，所以不可避免地會遇到與其他新軟件一樣的問題。

在本文中，我們將介紹OpenAppID及其特性，了解一些適合企業(yè)的使用案例。

OpenAppID的工作原理是什么?

根據(jù)思科的介紹，OpenAppID允許一個公司高效地創(chuàng)建自己的應(yīng)用程序防火墻。通過一組應(yīng)用程序標(biāo)識符——實際上是用于區(qū)分不同應(yīng)用程序流量的簽名，網(wǎng)絡(luò)與安全管理員就可以在Snort系統(tǒng)中創(chuàng)建、共享和實現(xiàn)自定義的應(yīng)用程序檢測規(guī)則。OpenAppId可用于創(chuàng)建流量警報、阻擋流量及執(zhí)行與環(huán)境相關(guān)的流量分析，以及生成關(guān)于網(wǎng)絡(luò)中應(yīng)用程序使用情況的報表。

這些穩(wěn)定的特性使管理員坐在辦公桌前就可以分辨出惡意應(yīng)用程序和非法使用，從而處理已有及新出現(xiàn)的威脅。此外，它還消除了對于第7層安全供應(yīng)商的依賴。直到現(xiàn)在，需要這種功能來檢測和阻擋應(yīng)用層流量的企業(yè)還沒有其他選擇，只能購買某一種商業(yè)產(chǎn)品。有了OpenAppID之后，企業(yè)現(xiàn)在就可以使用Snort作為基礎(chǔ)建立一個自定義的開源應(yīng)用程序防火墻，它可以根據(jù)組織需要創(chuàng)建流量警報或阻擋應(yīng)用程序流量。而Snort是一個許多安全專家都非常熟悉的工具。

OpenAppID目前支持超過1,500個應(yīng)用程序。管理員也可以自己編寫應(yīng)用程序檢測器。

OpenAppID所支持的眾多應(yīng)用示例。

OpenAppID適用于哪些環(huán)境?

按照我對于開源軟件的理解，通常我們必須付出才會換來回報。Snort是一個可靠的工具，而OpenAppID看起來又是一個不錯的功能，所以這種免費組件可能會擦出火花。但是，這并不意味著它可以輕易變得像商業(yè)產(chǎn)品(如下一代防火墻)一樣好用。Snort非常不錯，OpenAppID也一樣優(yōu)秀，但是它仍然是一種新產(chǎn)品，因此它不可避免地會有與其他新軟件一樣的問題，未來也很快會有新特性和新變化到來。

在寫這本書時，我了解到許多關(guān)于Sourcefire的感知應(yīng)用產(chǎn)品。它有非常多的技術(shù)，這些技術(shù)對復(fù)雜企業(yè)網(wǎng)絡(luò)管理有很大的幫助。然而，我認(rèn)為思科不會讓自己的商業(yè)產(chǎn)品受到Snort與OpenAppID等開源產(chǎn)品的影響。希望這家公司能夠同時支持兩種產(chǎn)品，這樣企業(yè)就可以根據(jù)自己的需要進行選擇。

但是按照這種說法，一個企業(yè)是否應(yīng)該嘗試通過OpenAppID實現(xiàn)更好的第7層網(wǎng)絡(luò)安全控制呢?在加入OpenAppID大潮之前，要慎重考慮以下幾個方面：

1.首先要考慮一下：企業(yè)安全項目準(zhǔn)備要實現(xiàn)什么目標(biāo)?目前有哪些業(yè)務(wù)風(fēng)險?奇怪的是，許多組織還無法回答這些問題。最后要做的是用一個新技術(shù)去解決一個新問題，而現(xiàn)在還不知道這個風(fēng)險是否會對企業(yè)環(huán)境產(chǎn)生重大影響。

2.現(xiàn)在公司部署的安全控制中，有哪些已經(jīng)有了與OpenAppID類似的功能(如：下一代防火墻、內(nèi)容過濾、終端保護)?OpenAppID與它們有何不同?是否更好一些?

3.組織是否有內(nèi)部專業(yè)人員負(fù)責(zé)實現(xiàn)與監(jiān)控這種工具?部署了OpenAppID之后，所有東西都受到監(jiān)控;你是否負(fù)責(zé)承擔(dān)這種挑戰(zhàn)?如果從技術(shù)角度看沒有問題，那么時間上是否有問題?每當(dāng)企業(yè)增加一個新的網(wǎng)絡(luò)安全功能時，一定還會有相關(guān)聯(lián)的其他技術(shù)，否則是無法高效地完成目標(biāo)。為了給OpenAppID及網(wǎng)絡(luò)應(yīng)用保護留下 更多的時間，你愿意放棄哪些東西?

如果這些問題都不存在，那么很有可能OpenAppID就適合你的公司使用。但是，一定要先在測試環(huán)境中試用它，或者至少要在不會產(chǎn)生負(fù)面影響的一小部分生產(chǎn)網(wǎng)絡(luò)中試用，直至使它得到正確配置。一定不要向管理層推薦一些僅僅經(jīng)過概念驗證的產(chǎn)品，這樣做的最終結(jié)果是得不償失。

在第7層安全上，一些犯罪黑客會發(fā)起非常新的惡意應(yīng)用程序攻擊。雖然企業(yè)的技術(shù)跟進速度會稍稍落后一些，但是他們一樣可以有相同的技術(shù)環(huán)境。就像肉搏戰(zhàn)雙方最終都會倒地一樣，大多數(shù)網(wǎng)絡(luò)安全斗爭最終都會出現(xiàn)在最低的第7層;這些企業(yè)安全團隊需要密切關(guān)注的區(qū)域。OpenAppID提供的免費網(wǎng)絡(luò)應(yīng)用控制所提供的保護與監(jiān)控級別有可能幫助我們將網(wǎng)絡(luò)安全推向一個新高度。