应用层防火墙如何防御协议栈上的攻击?

虽然25年来防火墙一直是Internet连接网络的主要安全方式,但是在这段时期,攻击者已经盯上了协议栈,绕过操作系统或TCP/IP协议,直接瞄上了实现现代分布式web应用的HTTP、HTML和XML协议。因此,为了更全面有效地进行防护,将较低层的防火墙与智能应用层防火墙整合到一起显得至关重要。

应用层防火墙能为检测到的31种不同的应用程序应用策略

到底什么是应用程序呢——或者说必须保护什么?几乎所有的一切都是基于Web的,因此这并不涉及到TCP端口(所有的端口都是80或者443)的问题。同时也不是URL的问题,因为大量的东西都可以全部堆放到一个网站或者页面上。诸如Facebook和Google的平台都包含了几十个甚至上百个所谓的应用程序,其中包括聊天、视频、邮件、游戏、电子表格、调查、文件转换等等。因此,具备应用智能的防火墙必须能够在一个Web页面平台上识别不同的特性和功能,同时根据不同应用程序应用政策。如果一个应用程序的功能存在不同的安全隐患,如不同的风险配置,那么防火墙必须依据具体情况进行处理。

最复杂和最快速变化的流量是用户发起的Web会话,这是新型应用程序和威胁可能在Internet上某个地方出现的位置,这种会话在快速受到广泛欢迎的同时也引起了攻击者的关注。基于Web应用程序已经不再受企业IT的控制,并且成为了创新的温床。在一个表面上看起来有益的网站上,一个小小的修改就能够将其转换成极好的新型攻击衍生地。例如,一个广受推崇的新闻网站可能会突然间变得很危险,因为这个附加的读者聊天室可能会带来用户生成并很可能将很危险的内容带进网站。

公司同时还必须应对通过Web交付,并且是和合作伙伴、供应商及客户结合使用的企业应用程序。在此,基于XML协议,如SOAP和REST都可以用于连接Enterprise Resource Planning (ERP)、Supply Chain Management (SCM),以及各种纵向的计费和与金融相关的应用程序,如银行、制造业、能源、运输等。基于XML协议几乎可以任意复杂的层次,并且可以直接绑定到业务流程,因此会导致出现罕见的安全风险。

为何无法使用一种类型的防火墙应对所有威胁?

如果公司必须防范低级别的攻击、基于Web攻击和应用整合流量攻击,那么可否安装一种防火墙来达到一劳永逸的效果呢?为何无法将所有必须的功能都统一到一个设备中呢?答案很简单,因为打开、检查和识别每个输入或者输出企业网络的网络流量流需要花费大量的处理能力。应用层的智能与性能之间存在一个折中的常数。防火墙对流量太过于繁冗的防护会导致延迟,并且无法按照要求实现足够快速的处理速度。而过于简单的防护则可能漏掉一些重要的威胁。

将应用感知防火墙与其他网络安全防火墙整合到一起

为了实现平衡,公司可以在不同的网络层上安装特定的防火墙。低级别的网络防火墙可以过滤大量的捆绑流量,如缓存端口扫描、拒绝服务和其他低级别网络攻击。通过应用了解当前复杂Web应用的精细策略,使用户流量通过一个应用层防火墙,从而控制可接受的使用和风险。应用网关或者XML防火墙可以拦截往返于合作伙伴的企业整合流量流,同时检查XML模式和内容、确认签名和加密/解密流量。

每个不同类型的流量都面临不同的风险,同时具备不同的性能特征。安全专家必须根据每一种情况对性能和审查深度进行正确的权衡,并选择正确的解决方案:一个专门控制10Gb/秒内部网络的以数据为中心的防火墙与针对用户流量的Internet上行链路防火墙或者针对加密和XML优化的DMZ合作伙伴防火墙是截然不同的。

经过近25年的发展,防火墙继续位于安全的第一线。但这仅仅是因为“防火墙”这个词已经涵盖了各种不同类型的安全设备,并且每种类型都各有不同的用途。最重要的安全考虑是选择正确的防火墙来处理不同类型的流量。