在過去的10年中，許多企業(yè)在網(wǎng)絡(luò)和周邊安全上進(jìn)行了大量的投入。各組織均加強了他們的控制措施并且進(jìn)入防御狀態(tài)，極大地限制了黑客的網(wǎng)絡(luò)掃描攻擊的有效性。不幸的是，當(dāng)安全專家們還在忙于建立網(wǎng)絡(luò)控制措施時，攻擊者們已經(jīng)開始著手開發(fā)新的技術(shù)去攻擊下一個致命的弱點：應(yīng)用層。

近期Gartner公司的調(diào)查顯示，目前成功的攻擊案例中有75%發(fā)生在應(yīng)用層。由此產(chǎn)生了更可怕的預(yù)測：到2009年，80%的企業(yè)將成為應(yīng)用層攻擊的受害者。

為什么這些攻擊這么有效？答案非常簡單：它們繞過了過去10年中安全人員實施的所有以網(wǎng)絡(luò)為中心的控制措施，例如端口禁用。以Web應(yīng)用攻擊為例，傳統(tǒng)防火墻為了保護(hù)Web服務(wù)器所包含的規(guī)則是通過阻止所有非預(yù)期數(shù)據(jù)流，僅允許TCP流量通過80和443端口。不幸的是，防火墻不能區(qū)分出80端口中的哪些數(shù)據(jù)流是預(yù)期數(shù)據(jù)流，哪些是非預(yù)期的。

此時就出現(xiàn)了應(yīng)用層防火墻。這些防火墻會在Web服務(wù)器之前的應(yīng)用層對HTTP流量進(jìn)行檢查。這些設(shè)備可以檢測一個鏈接，分析用戶對應(yīng)用程序發(fā)出的命令。然后就可以分析出哪些是已知攻擊，哪些是標(biāo)準(zhǔn)應(yīng)用的演變。

雖然應(yīng)用層防火墻有很大的發(fā)展?jié)摿?，但是?yīng)當(dāng)適度并且有意識的進(jìn)行部署。在網(wǎng)絡(luò)防火墻進(jìn)入企業(yè)的最初階段，實施的經(jīng)理們普遍采取了謹(jǐn)慎的方式對待這些項目，他們進(jìn)行了仔細(xì)的分析和大量的測試。在部署Web應(yīng)用層防火墻時我們也應(yīng)該采取同樣的方式。仔細(xì)的測試為組織的應(yīng)用開發(fā)人員建立信心，作為負(fù)責(zé)變更的安全經(jīng)理也可以很有底氣的說這項技術(shù)給企業(yè)帶來的幫助將遠(yuǎn)遠(yuǎn)大于給他們增加的工作負(fù)擔(dān)。

一旦組織準(zhǔn)備將該產(chǎn)品應(yīng)用到生產(chǎn)環(huán)境中時，就應(yīng)當(dāng)開始考慮一個穩(wěn)定的防火墻規(guī)則基礎(chǔ)了。下面是如何在組織中建立和部署應(yīng)用層防火墻規(guī)則基礎(chǔ)的步驟：

1．有一段足夠長的調(diào)整期。當(dāng)今的應(yīng)用層防火墻擁有復(fù)雜的功能去監(jiān)控數(shù)據(jù)流并且學(xué)習(xí)正常活動的模式。一段時間后，防火墻被“訓(xùn)練”得能識別出這些活動模式從而阻止非正常數(shù)據(jù)流。然而，防火墻需要有足夠長的訓(xùn)練時間，這樣規(guī)則基礎(chǔ)才能反映出周期性和季節(jié)性的網(wǎng)絡(luò)活動趨勢。例如，電子商務(wù)零售商肯定不想在夏天這個銷售淡季去訓(xùn)練防火墻保護(hù)其網(wǎng)站，然后在冬天這個銷售旺季部署規(guī)則基礎(chǔ)。

2．開發(fā)出適用于企業(yè)的個性化規(guī)則。對組織基礎(chǔ)設(shè)施的了解是非常重要的，對防火墻進(jìn)行個性化設(shè)置以滿足公司的特殊需要可以極大的提高這些工具的效果。例如，如果在一個應(yīng)用環(huán)境中僅有一個Web應(yīng)用應(yīng)該接受文件上傳，規(guī)則中就應(yīng)當(dāng)完全阻止PUT命令（用于上傳文件的HTTP命令）在其他系統(tǒng)中使用。

3．以被動模式進(jìn)行初次運行。對于規(guī)則基礎(chǔ)的測試通常要求“軟著陸”。在這樣的策略下，防火墻上線時將按照建議的規(guī)則設(shè)置。接下來將在監(jiān)控模式下運行，但并不阻止任何數(shù)據(jù)流。在防火墻正式進(jìn)入激活模式前，應(yīng)當(dāng)花些時間去評估那些違反防火墻規(guī)則的數(shù)據(jù)流。負(fù)責(zé)實施的責(zé)任人還應(yīng)在正式上線前調(diào)整防火墻的誤判率。程序員們向來不喜歡安保系統(tǒng)破壞他們的應(yīng)用程序，這無疑會更加影響跟他們之間的關(guān)系。

4．監(jiān)視，監(jiān)視，監(jiān)視。一旦防火墻被激活使用，就應(yīng)當(dāng)認(rèn)真地監(jiān)控。被阻止的數(shù)據(jù)流記錄會提供非常重要的線索。被阻止的攻擊可以向管理者顯示出他們安全投資的回報。此外，可能仍然存在誤判的情況，但它們可以幫助調(diào)整規(guī)則基礎(chǔ)。

就像網(wǎng)絡(luò)防火墻一樣，應(yīng)用層防火墻也不是萬靈藥?？梢允褂肳ebInspect和AppScan之類的工具來檢測Web應(yīng)用的漏洞。作為補充，定期進(jìn)行滲透性測試也是一項可靠的防護(hù)策略，且能打消許多安全專家們對Web應(yīng)用的顧慮。

【編輯推薦】

1. 霧里看花 如何選擇真正的萬兆防火墻
2. 應(yīng)運而生 下一代防火墻“給力”
3. 動態(tài)管理防火墻 firewalld
4. 變廢為寶：將舊電腦改造成強勁的防火墻和路由器