應用代理防火墻的好處
問:為什么代理防火墻適用于應用安全?
答:我認為描述應用代理防火墻好處的最好方式是看其它防火墻技術的缺點。有三類常見的防火墻:包過濾防火墻,基于狀態檢查的防火墻或電路級網關,代理防火墻或應用級網關。所有這三類防火墻對比規則分析進入的數據包然后決定是阻攔還是允許這些數據包通過,但是從分析數據包的層面可以區分它們。
包過濾亦稱網絡層防火墻運行在OSI(開發系統互聯)模型的第3層,并且位于進入和外出網絡流量之間能夠將組織的網絡和其它網絡域分離開來。這類防火墻檢測每個數據包的頭信息,并且通過將數據包的源、目的地址、網絡端口、協議類型和一套規則進行對比來阻攔或允許它通過。這類“無狀態”的防火墻單獨地基于每個數據包中包含的信息來決策,無法知曉任何流量模式或數據流。這使得它們很容易受到欺騙攻擊和其它基于協議的網絡攻擊。
為了在一個更大的網絡通信會話環境中評估每個數據包,運行于OSI模型第5層的狀態防火墻記錄通過它們的所有連接。通過追蹤網絡連接的狀態它們擁有更多的完整信息,并且可以丟棄那些與已知連接狀態不匹配的數據包。盡管狀態防火墻能夠阻攔許多網絡協議級的攻擊,它們不能檢查穿梭于應用和用戶之間的每個數據包包含的實際負載。這樣就允許畸形或不期望的數據傳輸并且利用特定應用的漏洞例如緩沖區溢出或SQL注入。
運行于OSI模型第7層的應用代理防火墻有更高級的檢測能力。這類防火墻實際上不允許數據包直接在應用程序和用戶之間傳遞。相反所有的流量被攔截然后通過代理連接來傳遞。這意味著有兩個網絡連接:一個在用戶和代理服務器之間,另一個在代理服務器和應用程序之間。代理防火墻雙向地接收、檢查和轉發客戶端和應用之間的所有流量。防火墻位于邏輯連接的中間,這允許它檢測網絡流量包括負載,并在應用層級檢查任何可疑活動。
不像包過濾防火墻那樣,代理防火墻理解它保護的應用,所以能夠阻攔禁止的命令,例如危險的SQL命令或畸形請求(如嘗試引發緩沖區溢出)。此外,能夠在數據傳給用戶前分析離開網絡的流量并且攔截任何敏感數據。所有這些網絡流量的數據包頭和負載的詳盡信息也可以被記錄,以便提供更好的審計。通過改變防火墻的規則集能夠對付應用的新威脅。這比對應用本身進行修改更加快捷和容易。其它優勢還包括對位于防火墻之后的系統提供匿名保護,同時以一個分開的進程和內存空間隔離開安全檢查。這個級別的過濾為保護數據、業務邏輯和應用免于設計上的缺陷提供了一層額外的安全防護。
【編輯推薦】
