如何选择应用防火墙以确保企业网安全

ZDNet安全频道原创翻译 转载请注明作者以及出处

选择应用防火墙不是为了取代控制系统里的其他各层。使用它的目的是为系统安全提供补充。在本文中，我们将了解应用防火墙可以做什么以及你为什么需要它？如何才能保证商业系统中的安全受到保障？
--------------------------------------------------------------------------------------------

对于安全和软件开发管理人员来说，网络应用的安全应该持续受到关注。在象开放式网络应用程序安全项目（OWASP）十大一样的开发准则出现前创建的数以百计的遗留应用程序留下了大量漏洞。尽管新应用程序的漏洞已经大大的减少了，但应用程序不可避免的“漏洞”也还是存在的，甚至那些经过了所谓的“安全设计的”软件也不例外。保护系统免于受到来自这些漏洞攻击的最后防线就是应用防火墙。

选择应用防火墙不是为了取代控制系统的其他各层。使用它的目的是为系统安全提供补充。在本文中，我们将了解应用防火墙可以做什么以及你为什么需要它？如何才能保证商业系统中的安全受到保障？

网络应用程序在安全方面面临的挑战

自从企业和IT经理们发现通过浏览器可以方便灵活地提供各种有价值的信息开始，基于浏览器的应用就开始迅速增加，网络应用开发也得到了蓬勃的发展。时至今天，巨型公司可能拥有数百甚至数千项的网络应用程序，可以运行在从小型到大型的公用设备，以及功能齐全的企业解决方案。今天的大多数开发商都知道所面临的共同威胁，并且在采取步骤保证这些应用程序的安全。但是，古老的应用程序却得不到同样的照顾。对于大多数公司来说，并没有足够的时间、预算或技术支持帮助业务经理“修”好完美的应用，因此，这些传统的解决方案会继续为来自黑帽黑客的攻击提供机会。

仅仅采用传统的防火墙或设备周边的入侵防护装置，网络部分的安全网关这样的措施是不够的。攻击者可以利用软件对端口80（HTTP）和443（SSL）中的数据传输进行控制。由于对所有的数据进行控制和拦截不是一种可行的方式，这些攻击通常会寻找软件中存在的漏洞。此外，入侵防御系统和入侵检测系统尽管会对包含已知类型攻击的数据包进行全面检查，但对于被操纵利用的申请来说，这种做法往往是无效的。

当前网络应用安全存在问题是有多种原因的，它们包括了：

1. 健康保险携带和责任法案（HIPAA）要求保证受保护电子健康信息（EPHI）的保密性和完整性

2. 萨班斯法案要求保证财务报告的完整性

3. 支付卡行业数据安全标准、公平准确信用法案以及各种州和地方法律规定必须对个人可识别信息进行保护

4. 企业的声誉面临危险

5. 保护敏感数据和关键系统仅仅是一件正确的事情

弥补不安全的网络应用程序代码导致的漏洞的方法之一就是选择一个应用防火墙。

应用防火墙的工作过程

防火墙在开放系统互连参考模型的第七层应用层工作。如图一所显示。传统的防火墙可以通过对端口或网络IP地址进行检查和管理分组保护更低层的网络安全。对于某些类型的流量引起的攻击来说，它是行之有效的；但对于针对特定目标应用的攻击行为，它的防御效果并不好。

图一

图二显示的是一个安装了应用防火墙的系统。通过了外围防火墙应用服务器针对80端口的数据包，在这种情况下，必须被应用防火墙检查。此外，这种七层防火墙可以检查所有在内部网络中传输的数据。数据包需要选择容许或者禁止的模式。

图二

在选择容许应用防火墙工作的时间，过滤规则的建立将取决于网络管理员投入的时间和算法的情况。因此，应用防火墙可以从网络中获得更多的参数，其中包括了：

· 开始页面
· 表单字段
· 链接
· 下拉菜单

使用这些参数信息，就可以为每个应用建立相应的策略。在之前或之后发起的任何无法识别的网络活动都将被封锁。防火墙还将进行输入验证，检查账户名称、文件或主机系统是否有不寻常的或意想不到的特殊字符和通配符等操作。尽管提供了类似的保障措施，但应用防火墙的运行还是基于采用了静态策略的数字签名模型的。

来自安全产品测试和认证实验室NSS Labs的资料显示，精心设计和配置正确的应用防火墙可以立即停止许多类型的攻击，其中包括：

· 缓冲区溢出攻击
· 隐藏外地篡改攻击
· 跨站点脚本
· 参数篡改
· 带毒缓存
· 无效请求
· 信息泄露
· 验证破坏
· SQL注入

应用防火墙和入侵防御系统（IPS）

应用防火墙是不能用来取代入侵防御系统（IPS）的工作的。恰恰相反，它可以对入侵防御系统起补充作用。除了对应用防火墙上过滤入侵防御系统的数据包检测增加的额外延迟超出了可以接受的水平的用户。解决这个问题的方法是对资源的使用情况进行平衡。

无论是入侵检测还是应用防火墙，都必须安装在网络的内部。它们可以安装在一个内部端口上。举例来说，这样的话，检查数据包就不会影响反应时间。这时间就需要有效的监测和快速的事件响应过程。

最后的思考

象开放式网络应用程序安全项目和网络应用安全联盟所希望的那样，网络应用程序不存在任何通常弱点的想法是不合理的。指望网络和系统管理员在每个补丁发布的时间就马上对其进行修补也是不现实的。现实的是，使用应用防火墙作为额外的一层防御，对攻击网络应用程序的行为和数据进行研究。

对于管理层来说，是否需要对安全增加投资取决与商业模式和管理面临的实际风险的状况。