建立應用層防火墻規則基礎
在過去的10年中,許多企業在網絡和周邊安全上進行了大量的投入。各組織均加強了他們的控制措施并且進入防御狀態,極大地限制了黑客的網絡掃描攻擊的有效性。不幸的是,當安全專家們還在忙于建立網絡控制措施時,攻擊者們已經開始著手開發新的技術去攻擊下一個致命的弱點:應用層。
近期Gartner公司的調查顯示,目前成功的攻擊案例中有75%發生在應用層。由此產生了更可怕的預測:到2009年,80%的企業將成為應用層攻擊的受害者。
為什么這些攻擊這么有效?答案非常簡單:它們繞過了過去10年中安全人員實施的所有以網絡為中心的控制措施,例如端口禁用。以Web應用攻擊為例,傳統防火墻為了保護Web服務器所包含的規則是通過阻止所有非預期數據流,僅允許TCP流量通過80和443端口。不幸的是,防火墻不能區分出80端口中的哪些數據流是預期數據流,哪些是非預期的。
此時就出現了應用層防火墻。這些防火墻會在Web服務器之前的應用層對HTTP流量進行檢查。這些設備可以檢測一個鏈接,分析用戶對應用程序發出的命令。然后就可以分析出哪些是已知攻擊,哪些是標準應用的演變。
雖然應用層防火墻有很大的發展潛力,但是應當適度并且有意識的進行部署。在網絡防火墻進入企業的最初階段,實施的經理們普遍采取了謹慎的方式對待這些項目,他們進行了仔細的分析和大量的測試。在部署Web應用層防火墻時我們也應該采取同樣的方式。仔細的測試為組織的應用開發人員建立信心,作為負責變更的安全經理也可以很有底氣的說這項技術給企業帶來的幫助將遠遠大于給他們增加的工作負擔。
一旦組織準備將該產品應用到生產環境中時,就應當開始考慮一個穩定的防火墻規則基礎了。下面是如何在組織中建立和部署應用層防火墻規則基礎的步驟:
1.有一段足夠長的調整期。當今的應用層防火墻擁有復雜的功能去監控數據流并且學習正常活動的模式。一段時間后,防火墻被“訓練”得能識別出這些活動模式從而阻止非正常數據流。然而,防火墻需要有足夠長的訓練時間,這樣規則基礎才能反映出周期性和季節性的網絡活動趨勢。例如,電子商務零售商肯定不想在夏天這個銷售淡季去訓練防火墻保護其網站,然后在冬天這個銷售旺季部署規則基礎。
2.開發出適用于企業的個性化規則。對組織基礎設施的了解是非常重要的,對防火墻進行個性化設置以滿足公司的特殊需要可以極大的提高這些工具的效果。例如,如果在一個應用環境中僅有一個Web應用應該接受文件上傳,規則中就應當完全阻止PUT命令(用于上傳文件的HTTP命令)在其他系統中使用。
3.以被動模式進行初次運行。對于規則基礎的測試通常要求“軟著陸”。在這樣的策略下,防火墻上線時將按照建議的規則設置。接下來將在監控模式下運行,但并不阻止任何數據流。在防火墻正式進入激活模式前,應當花些時間去評估那些違反防火墻規則的數據流。負責實施的責任人還應在正式上線前調整防火墻的誤判率。程序員們向來不喜歡安保系統破壞他們的應用程序,這無疑會更加影響跟他們之間的關系。
4.監視,監視,監視。一旦防火墻被激活使用,就應當認真地監控。被阻止的數據流記錄會提供非常重要的線索。被阻止的攻擊可以向管理者顯示出他們安全投資的回報。此外,可能仍然存在誤判的情況,但它們可以幫助調整規則基礎。
就像網絡防火墻一樣,應用層防火墻也不是萬靈藥。可以使用WebInspect和AppScan之類的工具來檢測Web應用的漏洞。作為補充,定期進行滲透性測試也是一項可靠的防護策略,且能打消許多安全專家們對Web應用的顧慮。
【編輯推薦】
