應用層防火墻如何防御協議棧上的攻擊?
雖然25年來防火墻一直是Internet連接網絡的主要安全方式,但是在這段時期,攻擊者已經盯上了協議棧,繞過操作系統或TCP/IP協議,直接瞄上了實現現代分布式web應用的HTTP、HTML和XML協議。因此,為了更全面有效地進行防護,將較低層的防火墻與智能應用層防火墻整合到一起顯得至關重要。
應用層防火墻能為檢測到的31種不同的應用程序應用策略
到底什么是應用程序呢——或者說必須保護什么?幾乎所有的一切都是基于Web的,因此這并不涉及到TCP端口(所有的端口都是80或者443)的問題。同時也不是URL的問題,因為大量的東西都可以全部堆放到一個網站或者頁面上。諸如Facebook和Google的平臺都包含了幾十個甚至上百個所謂的應用程序,其中包括聊天、視頻、郵件、游戲、電子表格、調查、文件轉換等等。因此,具備應用智能的防火墻必須能夠在一個Web頁面平臺上識別不同的特性和功能,同時根據不同應用程序應用政策。如果一個應用程序的功能存在不同的安全隱患,如不同的風險配置,那么防火墻必須依據具體情況進行處理。
最復雜和最快速變化的流量是用戶發起的Web會話,這是新型應用程序和威脅可能在Internet上某個地方出現的位置,這種會話在快速受到廣泛歡迎的同時也引起了攻擊者的關注。基于Web應用程序已經不再受企業IT的控制,并且成為了創新的溫床。在一個表面上看起來有益的網站上,一個小小的修改就能夠將其轉換成極好的新型攻擊衍生地。例如,一個廣受推崇的新聞網站可能會突然間變得很危險,因為這個附加的讀者聊天室可能會帶來用戶生成并很可能將很危險的內容帶進網站。
公司同時還必須應對通過Web交付,并且是和合作伙伴、供應商及客戶結合使用的企業應用程序。在此,基于XML協議,如SOAP和REST都可以用于連接Enterprise Resource Planning (ERP)、Supply Chain Management (SCM),以及各種縱向的計費和與金融相關的應用程序,如銀行、制造業、能源、運輸等。基于XML協議幾乎可以任意復雜的層次,并且可以直接綁定到業務流程,因此會導致出現罕見的安全風險。
為何無法使用一種類型的防火墻應對所有威脅?
如果公司必須防范低級別的攻擊、基于Web攻擊和應用整合流量攻擊,那么可否安裝一種防火墻來達到一勞永逸的效果呢?為何無法將所有必須的功能都統一到一個設備中呢?答案很簡單,因為打開、檢查和識別每個輸入或者輸出企業網絡的網絡流量流需要花費大量的處理能力。應用層的智能與性能之間存在一個折中的常數。防火墻對流量太過于繁冗的防護會導致延遲,并且無法按照要求實現足夠快速的處理速度。而過于簡單的防護則可能漏掉一些重要的威脅。
將應用感知防火墻與其他網絡安全防火墻整合到一起
為了實現平衡,公司可以在不同的網絡層上安裝特定的防火墻。低級別的網絡防火墻可以過濾大量的捆綁流量,如緩存端口掃描、拒絕服務和其他低級別網絡攻擊。通過應用了解當前復雜Web應用的精細策略,使用戶流量通過一個應用層防火墻,從而控制可接受的使用和風險。應用網關或者XML防火墻可以攔截往返于合作伙伴的企業整合流量流,同時檢查XML模式和內容、確認簽名和加密/解密流量。
每個不同類型的流量都面臨不同的風險,同時具備不同的性能特征。安全專家必須根據每一種情況對性能和審查深度進行正確的權衡,并選擇正確的解決方案:一個專門控制10Gb/秒內部網絡的以數據為中心的防火墻與針對用戶流量的Internet上行鏈路防火墻或者針對加密和XML優化的DMZ合作伙伴防火墻是截然不同的。
經過近25年的發展,防火墻繼續位于安全的第一線。但這僅僅是因為“防火墻”這個詞已經涵蓋了各種不同類型的安全設備,并且每種類型都各有不同的用途。最重要的安全考慮是選擇正確的防火墻來處理不同類型的流量。
【編輯推薦】
