在現(xiàn)代的計算環(huán)境中，應(yīng)用層防火墻日益顯示出其可以減少攻擊面的強大威力。最初的網(wǎng)絡(luò)安全不過是使用支持訪問列表的路由器來擔(dān)任。對簡單的網(wǎng)絡(luò)而言，僅使用訪問控制列表和一些基本的過濾功能來管理一個網(wǎng)絡(luò)對于未授權(quán)的用戶而言已經(jīng)足夠。因為路由器位于每個網(wǎng)絡(luò)的中心，而且這些設(shè)備還被用于轉(zhuǎn)發(fā)與廣域網(wǎng)的通信。

但路由器僅能工作在網(wǎng)絡(luò)層，其過濾方式多少年來并沒有根本性的變化。制造路由器的公司也為增強安全性在這一層上也是下足了工夫。更明確地講，所有的安全措施只不過存在于路由器所在的網(wǎng)絡(luò)層而已。

會話層防火墻也稱為電路級防火墻或電路網(wǎng)關(guān)。這種電路級防火墻使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）來保護內(nèi)部網(wǎng)絡(luò)，而這些網(wǎng)關(guān)幾乎沒有或根本沒有與應(yīng)用層的連接，所以它們也就不能過濾更復(fù)雜的連接。這種防火墻只能根據(jù)基本的規(guī)則（如源地址端口）來保護數(shù)據(jù)通信。

隨著技術(shù)的發(fā)展和進步，人們需要管理外發(fā)的數(shù)據(jù)通信，需要進行過濾。用戶們可以瀏覽互聯(lián)網(wǎng)，并且可以利用內(nèi)部防御系統(tǒng)中的漏洞，因為惡意用戶可以將自己偽裝成一個合法的用戶。

用戶可以通過遠(yuǎn)程登錄到一個開放的外發(fā)端口，而此端口并不是一個telnet端口（從23號端口登錄到80號端口），這意味著用戶可以輕易地繞過第五層設(shè)備的安全防御。支持訪問列表的路由器會準(zhǔn)許用戶連接到一個端口上，雖然此端口并不是遠(yuǎn)程登錄端口，而是另外一種服務(wù)的端口。這意味著路由器在數(shù)據(jù)包通過時并沒有實施檢查。由此便造成惡意數(shù)據(jù)包可以在網(wǎng)絡(luò)上傳輸。

在上個世紀(jì)的90年代，主流的代理服務(wù)器登上了舞臺，它集成了基本的防火墻技術(shù)。這種“代理服務(wù)器防火墻”能夠劫獲源主機和目標(biāo)主機之間的通信。因為“代理服務(wù)器防火墻”位于中間的位置，所以它擁有根據(jù)預(yù)先定義的規(guī)則集來檢查數(shù)據(jù)包的能力。

傳統(tǒng)會話層防火墻技術(shù)的局限

會話層防火墻工作在第五層。在上個世紀(jì)的90年代，這種技術(shù)對于保護網(wǎng)絡(luò)是足夠的。但是，隨著攻擊發(fā)展到應(yīng)用層，以及互聯(lián)網(wǎng)的增長，會話層防火墻的功能不再是足夠的。其結(jié)果是沒有應(yīng)用層保護機制的防火墻將導(dǎo)致錯誤的配置， 而且操作系統(tǒng)的漏洞會直接暴露到互聯(lián)網(wǎng)上，這是由于所有的會話層防火墻通過提供一張路由表和訪問控制列表而提供一種基本的保護措施。

在會話層防火墻上的一些小進步使得防火墻可以在更深的層次上檢查常見協(xié)議的數(shù)據(jù)包，不過，用metasploit和backtrack等工具很容易就可以繞過這些措施。在今天的網(wǎng)絡(luò)環(huán)境中，唯一的選擇是安裝一個應(yīng)用層防火墻，它不僅僅可以實施ACL及目標(biāo)端口等的檢查。在與現(xiàn)代的應(yīng)用程序交互時，進行更深的數(shù)據(jù)包檢查、狀態(tài)連接管理、應(yīng)用層過濾是至關(guān)重要的功能。因此，許多重視安全性的單位在面臨會話層和應(yīng)用層防火墻的選擇時，會堅定地選擇后者。

應(yīng)用層防火墻技術(shù)

第三代防火墻稱為應(yīng)用層防火墻或代理服務(wù)器防火墻，這種防火墻在兩種方向上都有“代理服務(wù)器”的能力，這樣它就可以保護主體和客體，防止其直接聯(lián)系。代理服務(wù)器可以在其中進行協(xié)調(diào)，這樣它就可以過濾和管理訪問，也可以管理主體和客體發(fā)出和接收的內(nèi)容。這種方法可以通過以各種方式集成到現(xiàn)有目錄而實現(xiàn)，如用戶和用戶組訪問的LDAP。

應(yīng)用層防火墻還能夠仿效暴露在互聯(lián)網(wǎng)上的服務(wù)器，因此正在訪問的用戶就可以擁有一種更加快速而安全的連接體驗。事實上，在用戶訪問公開的服務(wù)器時，他所訪問的其實是第七層防火墻所開放的端口，其請求得以解析，并通過防火墻的規(guī)則庫進行處理。一旦此請求通過了規(guī)則庫的檢查并與不同的規(guī)則相匹配，就會被傳遞給服務(wù)器。這種連接在是超高速緩存中完成的，因此可以極大地改善性能和連接的安全性。

而在OSI模型中，第五層是會話層，第七層是應(yīng)用層。應(yīng)用層之上的層為第八層，它在典型情況下就是保存用戶和策略的層次。

關(guān)于OSI的進一步說明

OSI是一個網(wǎng)絡(luò)架構(gòu)的分層模型。它描述和規(guī)定了兩個互聯(lián)的系統(tǒng)如何通信。其中，頂層在典型情況下即為“基于代理服務(wù)器的防火墻”所工作的層次。應(yīng)用層防火墻是第三代防火墻，這種防火墻可以向下掃描其下的各層。在與會話層防火墻或電路層防火墻比較時，這種應(yīng)用層防火墻可以集成會話層防火墻的特性和反向代理服務(wù)器等其它高級特性，從而實現(xiàn)更安全的網(wǎng)站訪問。

當(dāng)今的攻擊已經(jīng)發(fā)展得相當(dāng)高級，多數(shù)會話層防火墻甚至并不能阻止多數(shù)基本的應(yīng)用型攻擊。因此，我們需要向第五層防火墻道別或者用更加安全的“應(yīng)用層防火墻” 來替換之。

小結(jié)

不管我們?nèi)绾螌^去的老技術(shù)念念不忘，總不能忽視更新的防火墻面孔和更新的防火墻技術(shù)方法。安全專家們受到了前所未有的挑戰(zhàn)，這種挑戰(zhàn)來自于學(xué)會了如何加密其數(shù)據(jù)通信以逃避管理的用戶。那么，我們的解決方案就應(yīng)當(dāng)是實施應(yīng)用層防火墻，它應(yīng)當(dāng)能夠?qū)用艿臄?shù)據(jù)流進行掃描?；ヂ?lián)網(wǎng)的風(fēng)景很精彩，但更需要我們認(rèn)識到的是，一些更加結(jié)構(gòu)化的應(yīng)用層攻擊正不斷地“嶄露頭角”并興風(fēng)作浪，對付這種新威脅的唯一制勝之道便是實施更加精密復(fù)雜的應(yīng)用層防火墻。

【編輯推薦】

1. 正確看待虛擬化安全與虛擬防火墻
2. 防火墻加web應(yīng)用防火墻解決趙明問題