應用防火牆選購建議
整合型應用系統(ITinBOX)更多資料請訪問,合作聯系電話010-82921558或者郵件[email protected]
應用防火牆作為新一代保護網絡應用的產品,正越來越多的應用到網絡安全的部署中。由於應用防火牆技術很多用戶不是非常了解,也導致了在選購應用防火牆時的不准確。
理解應用層數據
應用防火牆與網絡防火牆相比,前者時處理應用層數據,後者時處理網絡層數據。應用防火牆是針對具體應用的專用防火牆,比如針對web應用的web應用防火牆,針對數據庫的數據庫應用防火牆。這些應用防火牆必須還原出上層協議的信息,根據協議的規定和用戶指定的規則對應用層數據進行判斷。
對於Web應用防火牆,能夠理解用戶請求的是什麼網頁,是在提交用戶信息,還是在訪問某個新聞頁面。同時,能夠理解用戶提交的各種信息,比如用戶名,密碼,身份證號碼等。只有理解這些應用層的信息,才可能針對各個不同的應用發揮保護作用。所以,在選購應用防火牆時,必須確定廠家宣稱的應用防火牆是否真正能夠理解應用層的數據。
.
積極安全防御
積極安全防御的原理是:對正常的網絡行為建立模型,在把所有的網絡數據拿來和保存在模型內的正常模式相匹配,如果不是這個正常范圍以內,那麼就認為是攻擊行為,對其做出處理。這樣做的最大好處是可以阻擋任何未知攻擊,即:黑客才發現的不為人所知的攻擊方式——網絡安全的最大隱患。對這種方式來說,建立一個安全的、有效的模型就可以對各種攻擊做出反應了。
只有建立在積極安全模型上的保護應用安全的產品才能稱為真正的應用防火牆。目前市場上有一些通過建立針對應用的攻擊特征庫來檢查攻擊數據的應用安全產品,這種產品需要預先配置攻擊特征庫,對於未發現的攻擊是無能為力的。這樣的產品可以看作是針對應用的IDS或者IPS產品,而不能算作是真正的應用防火牆產品。在選購應用防火牆時,可以通過產品是否提供針對正常應用的規則配置來確定是否具有積極安全防御的特性。
處理性能
由於應用防火牆需要處理應用層數據,必須要對網絡的報文進行重組,流還原和協議解析等處理,其復雜程度遠遠高於基於單個報文僅僅處理網絡層信息的傳統網路安全設備。為了保證已有網絡的可用性和實時性,,應用防火牆不能成為應用的瓶頸,必須使用高速的處理算法和新一代的硬件平台。
.
在選購應用防火牆時,需要確定產品的性能指標是否適合被保護的應用環境。一些針對應用層的指標,如http會話並發數,每秒請求數等是否滿足要求。另外,針對提供硬件平台的產品,需要關心硬件的性能是否高於同檔次的傳統防火牆產品。比如,如果廠家宣稱其應用防火牆的處理能力能夠達到數據轉發速率是每秒100兆,那麼它的硬件處理能力必須強於同樣標稱為每秒100兆的網絡防火牆。可以通過比較cpu性能,內存,接口總線帶寬等來衡量硬件的性能指標。
應用層會話管理
應用層防火牆最好具有應用層會話管理的功能,才能做到基於對用戶行為的檢測功能。比如Web應用防火牆,必須能夠實現建立http會話的能力,因為http協議本身是一個無狀態的協議,只有建立起應用層的會話管理,才能夠精確的判斷用戶是否在進行攻擊行為。應用層會話管理一般包括http會話建立,同時也需要能夠保護已有客戶端和服務器的會話維護信息,如提供cookie驗證功能,cookie加密功能。
在選購時,必須確認廠商宣稱的會話管理不是基於傳統網絡層防火牆的網絡層信息五元組的會話信息,而是真正可以標識真實用戶訪問行為的應用層會話管理能力。
安全規則的配置
.
針對應用防火牆,同眼需要建立安全規則。這個安全規則時基於應用的,而不是簡單的基於IP地址、端口等網絡層信息。比如針對web應用防火牆來說,安全規則必須包含允許用戶請求的http方法;各個緩沖區的合法長度;允許上傳和下載文件類型;允許用戶進行動態提交的內容等信息。網絡層安全產品都是不具備這種規則的配置的,這也是區分網絡層安全產品和應用防火牆的一個特征。
由於針對應用層的安全規則包含的信息非常復雜,而且,針對不同的商業應用環境,規則都需要重新配置,這個配置工作量時非常巨大的。比如保護Web應用的Web應用防火牆,真實世界中的Web應用非常復雜,而且網站在不斷的動態變化。
一個Web應用中很可能有上千個URL(對於新聞、論壇等Web應用,這個數目很容易就超過數十萬)
每個URL中可能含有多個變量個SQL查詢代碼
每個Web應用有成百上千個用戶
每天都有很多Web設計則改變網站
每個應用使用的後台服務器都不一樣
如果使用傳統的配置方法,那麼應用防火牆的管理員必須理解每個應用,每個網頁的作用,每次提交的請求,甚至每個提交變量的范圍,然後創建針對每個URL,每個請求串,每個變量的安全規則,並且,時刻都需要根據Web應用的變化來改變應用防火牆上的安全規則。這些在現實中做到是非常困難的。由於存在這些問題,傳統的配置方式不能夠滿足應用防火牆策略周全性和變化性的特點,需要應用新的方式來滿足應用防火牆的安全策略配置。AppRock? 應用防火牆實現了動態策略學習,在可信任用戶與應用互動時學習合法應用邏輯,然後建立有效的針對Web內容交互的安全策略數據庫。通過建立的安全策略數據庫對應用服務器進行保護。
.
總之,選購應用防火牆時最好咨詢多個廠家,相互比較功能,根據具體的環境選擇合適的應用防火牆產品。
整合型應用系統(ITinBOX)更多資料請訪問,合作聯系電話010-82921558或者郵件[email protected] .