扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在考虑应用层防火墙时,企业应该注意些什么?本文总结了四个因素与大家分享。
首先,它真的是一个应用层防火墙还是一种深度包检测器?区别二者很重要。为了与PCI保持一致,它必须要是一个真正的应用层防火墙,而不是一个冒名顶替者。
一个真正的应用层防火墙能检测来自应用程序的恶意代码,如SQL注入或者跨站脚本攻击(XSS)等。当然,这是需要深度包检测的,但深度包检测仅查找流量中的恶意软件和间谍软件之类的攻击,而无法检测到通过应用程序发送的恶意代码。
传统的网络防火墙只是检测包的标题,而深度包检测则可以检测包的内部及其内容。虽然这绝对可以增强防火墙的能力,但却不能用来防止攻击,它仍然存在一定的局限性。
另一种常见的误解是将应用层防火墙与Web安全网关,内容过滤产品混为一谈。不要因为安装了一个应用层防火墙,就把Web安全网关产品关闭了。它们是不同的产品!内容过滤产品可以阻止一些不合适的网站,或者基于Web的电子邮件,因为这些都可能包含恶意软件。
尽管Web安全网关、内容过滤产品和应用层防火墙已经开始慢慢融合为统一的工具了,这个发展是自然而然的,因为许多威胁也已经结合起来了需要多层防御。例如,内容过滤器可能会也可能不会阻止恶意站点,但应用层防火墙会阻止它所携带的恶意代码。
第二,应用层防火墙是否允许通过访问控制的精细保护?访问控制是流程稽核的一大部分。不仅仅是PCI,SOX和HIPAA都要求全部核查哪些人访问了企业系统,以及他们都访问了什么。应用层防火墙可以扮演监测访问的角色。
应用层防火墙的第二个特征是其与身份和访问管理系统的结合能力。它可以使防火墙通过调整来允许员工访问特定的Web应用程序,但不允许公司其他任何人访问。一些员工可能需要访问基于Web的电子邮件或WebEx,来进行工作。如果防火墙与公司的诸如Active Directory或者LDAP之类的目录服务结合起来的话,这是可以调整的。可以将访问应用程序添加到员工的配置里。
应用层防火墙本身,与其相对的网络防火墙一样,也应该有角色访问,仅允许授权的管理员访问,并进行维护和更新。
第三个关键的因素是其与公司网络的兼容性。应用层防火墙可能是另一种会拖延网络的设备。如果配置不合理,或与公司构架不兼容,它就会导致运行问题。
一般说来,应用层防火墙与网络防火墙同时运行,通常是在网络内部的网络防火墙之后。输入流量首先是通过网络防火墙,然后再通过应用层防火墙。在考虑完全安装一个产品之前,要经常核查防火墙的吞吐量,并且在你的运行环境中对其进行彻底的负载测试。在配置产品之前,任何速度变慢、瓶颈、或者性能问题都应当解决。
最后,就像网络防火墙一样,应用层防火墙应当有能力将流量记入日志。除了是一种安全最佳方式以外,追踪事件也很必要,在一些情况下,法规遵从可能需要这个功能。记录日志是否有能力追踪事件并对不合适的访问出具报告?PCI在网络监测方面的要求是非常严格的。这是应用层防火墙功能的核心部分。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者