你的企業網絡第7層保護現在處于什么狀態?奇怪的是，應用控制仍然是最難處理的網絡邊界，少數組織仍然必須使用一些有十多年歷史的傳統內容過濾系統和防火墻技術。

[[114916]]

然而，在今年的RSA大會上，思科發布了一個開源Snort入侵檢測系統引擎，它旨在成為一個有效的應用層安全工具。它的名稱是OpenAppID。

雖然OpenAppID聽起來很不錯，但它仍然是一個新產品，所以不可避免地會遇到與其他新軟件一樣的問題。

在本文中，我們將介紹OpenAppID及其特性，了解一些適合企業的使用案例。

OpenAppID的工作原理是什么?

根據思科的介紹，OpenAppID允許一個公司高效地創建自己的應用程序防火墻。通過一組應用程序標識符——實際上是用于區分不同應用程序流量的簽名，網絡與安全管理員就可以在Snort系統中創建、共享和實現自定義的應用程序檢測規則。OpenAppId可用于創建流量警報、阻擋流量及執行與環境相關的流量分析，以及生成關于網絡中應用程序使用情況的報表。

這些穩定的特性使管理員坐在辦公桌前就可以分辨出惡意應用程序和非法使用，從而處理已有及新出現的威脅。此外，它還消除了對于第7層安全供應商的依賴。直到現在，需要這種功能來檢測和阻擋應用層流量的企業還沒有其他選擇，只能購買某一種商業產品。有了OpenAppID之后，企業現在就可以使用Snort作為基礎建立一個自定義的開源應用程序防火墻，它可以根據組織需要創建流量警報或阻擋應用程序流量。而Snort是一個許多安全專家都非常熟悉的工具。

OpenAppID目前支持超過1,500個應用程序。管理員也可以自己編寫應用程序檢測器。

OpenAppID所支持的眾多應用示例。

OpenAppID適用于哪些環境?

按照我對于開源軟件的理解，通常我們必須付出才會換來回報。Snort是一個可靠的工具，而OpenAppID看起來又是一個不錯的功能，所以這種免費組件可能會擦出火花。但是，這并不意味著它可以輕易變得像商業產品(如下一代防火墻)一樣好用。Snort非常不錯，OpenAppID也一樣優秀，但是它仍然是一種新產品，因此它不可避免地會有與其他新軟件一樣的問題，未來也很快會有新特性和新變化到來。

在寫這本書時，我了解到許多關于Sourcefire的感知應用產品。它有非常多的技術，這些技術對復雜企業網絡管理有很大的幫助。然而，我認為思科不會讓自己的商業產品受到Snort與OpenAppID等開源產品的影響。希望這家公司能夠同時支持兩種產品，這樣企業就可以根據自己的需要進行選擇。

但是按照這種說法，一個企業是否應該嘗試通過OpenAppID實現更好的第7層網絡安全控制呢?在加入OpenAppID大潮之前，要慎重考慮以下幾個方面：

1.首先要考慮一下：企業安全項目準備要實現什么目標?目前有哪些業務風險?奇怪的是，許多組織還無法回答這些問題。最后要做的是用一個新技術去解決一個新問題，而現在還不知道這個風險是否會對企業環境產生重大影響。

2.現在公司部署的安全控制中，有哪些已經有了與OpenAppID類似的功能(如：下一代防火墻、內容過濾、終端保護)?OpenAppID與它們有何不同?是否更好一些?

3.組織是否有內部專業人員負責實現與監控這種工具?部署了OpenAppID之后，所有東西都受到監控;你是否負責承擔這種挑戰?如果從技術角度看沒有問題，那么時間上是否有問題?每當企業增加一個新的網絡安全功能時，一定還會有相關聯的其他技術，否則是無法高效地完成目標。為了給OpenAppID及網絡應用保護留下 更多的時間，你愿意放棄哪些東西?

如果這些問題都不存在，那么很有可能OpenAppID就適合你的公司使用。但是，一定要先在測試環境中試用它，或者至少要在不會產生負面影響的一小部分生產網絡中試用，直至使它得到正確配置。一定不要向管理層推薦一些僅僅經過概念驗證的產品，這樣做的最終結果是得不償失。

在第7層安全上，一些犯罪黑客會發起非常新的惡意應用程序攻擊。雖然企業的技術跟進速度會稍稍落后一些，但是他們一樣可以有相同的技術環境。就像肉搏戰雙方最終都會倒地一樣，大多數網絡安全斗爭最終都會出現在最低的第7層;這些企業安全團隊需要密切關注的區域。OpenAppID提供的免費網絡應用控制所提供的保護與監控級別有可能幫助我們將網絡安全推向一個新高度。