問(wèn)：為什么代理防火墻適用于應(yīng)用安全？

答：我認(rèn)為描述應(yīng)用代理防火墻好處的最好方式是看其它防火墻技術(shù)的缺點(diǎn)。有三類常見(jiàn)的防火墻：包過(guò)濾防火墻，基于狀態(tài)檢查的防火墻或電路級(jí)網(wǎng)關(guān)，代理防火墻或應(yīng)用級(jí)網(wǎng)關(guān)。所有這三類防火墻對(duì)比規(guī)則分析進(jìn)入的數(shù)據(jù)包然后決定是阻攔還是允許這些數(shù)據(jù)包通過(guò)，但是從分析數(shù)據(jù)包的層面可以區(qū)分它們。

包過(guò)濾亦稱網(wǎng)絡(luò)層防火墻運(yùn)行在OSI（開(kāi)發(fā)系統(tǒng)互聯(lián)）模型的第3層，并且位于進(jìn)入和外出網(wǎng)絡(luò)流量之間能夠?qū)⒔M織的網(wǎng)絡(luò)和其它網(wǎng)絡(luò)域分離開(kāi)來(lái)。這類防火墻檢測(cè)每個(gè)數(shù)據(jù)包的頭信息，并且通過(guò)將數(shù)據(jù)包的源、目的地址、網(wǎng)絡(luò)端口、協(xié)議類型和一套規(guī)則進(jìn)行對(duì)比來(lái)阻攔或允許它通過(guò)。這類“無(wú)狀態(tài)”的防火墻單獨(dú)地基于每個(gè)數(shù)據(jù)包中包含的信息來(lái)決策，無(wú)法知曉任何流量模式或數(shù)據(jù)流。這使得它們很容易受到欺騙攻擊和其它基于協(xié)議的網(wǎng)絡(luò)攻擊。

為了在一個(gè)更大的網(wǎng)絡(luò)通信會(huì)話環(huán)境中評(píng)估每個(gè)數(shù)據(jù)包，運(yùn)行于OSI模型第5層的狀態(tài)防火墻記錄通過(guò)它們的所有連接。通過(guò)追蹤網(wǎng)絡(luò)連接的狀態(tài)它們擁有更多的完整信息，并且可以丟棄那些與已知連接狀態(tài)不匹配的數(shù)據(jù)包。盡管狀態(tài)防火墻能夠阻攔許多網(wǎng)絡(luò)協(xié)議級(jí)的攻擊，它們不能檢查穿梭于應(yīng)用和用戶之間的每個(gè)數(shù)據(jù)包包含的實(shí)際負(fù)載。這樣就允許畸形或不期望的數(shù)據(jù)傳輸并且利用特定應(yīng)用的漏洞例如緩沖區(qū)溢出或SQL注入。

運(yùn)行于OSI模型第7層的應(yīng)用代理防火墻有更高級(jí)的檢測(cè)能力。這類防火墻實(shí)際上不允許數(shù)據(jù)包直接在應(yīng)用程序和用戶之間傳遞。相反所有的流量被攔截然后通過(guò)代理連接來(lái)傳遞。這意味著有兩個(gè)網(wǎng)絡(luò)連接：一個(gè)在用戶和代理服務(wù)器之間，另一個(gè)在代理服務(wù)器和應(yīng)用程序之間。代理防火墻雙向地接收、檢查和轉(zhuǎn)發(fā)客戶端和應(yīng)用之間的所有流量。防火墻位于邏輯連接的中間，這允許它檢測(cè)網(wǎng)絡(luò)流量包括負(fù)載，并在應(yīng)用層級(jí)檢查任何可疑活動(dòng)。

不像包過(guò)濾防火墻那樣，代理防火墻理解它保護(hù)的應(yīng)用，所以能夠阻攔禁止的命令，例如危險(xiǎn)的SQL命令或畸形請(qǐng)求（如嘗試引發(fā)緩沖區(qū)溢出）。此外，能夠在數(shù)據(jù)傳給用戶前分析離開(kāi)網(wǎng)絡(luò)的流量并且攔截任何敏感數(shù)據(jù)。所有這些網(wǎng)絡(luò)流量的數(shù)據(jù)包頭和負(fù)載的詳盡信息也可以被記錄，以便提供更好的審計(jì)。通過(guò)改變防火墻的規(guī)則集能夠?qū)Ω稇?yīng)用的新威脅。這比對(duì)應(yīng)用本身進(jìn)行修改更加快捷和容易。其它優(yōu)勢(shì)還包括對(duì)位于防火墻之后的系統(tǒng)提供匿名保護(hù)，同時(shí)以一個(gè)分開(kāi)的進(jìn)程和內(nèi)存空間隔離開(kāi)安全檢查。這個(gè)級(jí)別的過(guò)濾為保護(hù)數(shù)據(jù)、業(yè)務(wù)邏輯和應(yīng)用免于設(shè)計(jì)上的缺陷提供了一層額外的安全防護(hù)。

【編輯推薦】

1. 區(qū)別應(yīng)用代理防火墻和網(wǎng)關(guān)服務(wù)器防火墻
2. 網(wǎng)絡(luò)安全之防火墻概念與訪問(wèn)控制列表