應(yīng)用層防火墻規(guī)則庫(kù)的布署

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

在過(guò)去的10年里，大多數(shù)企業(yè)在網(wǎng)絡(luò)和周邊安全方面都進(jìn)行了大量的投資。機(jī)構(gòu)已經(jīng)加強(qiáng)了控制并且進(jìn)入了一種防御態(tài)勢(shì)以顯著限制黑客網(wǎng)絡(luò)掃描的有效性。遺憾的是，雖然安全專(zhuān)業(yè)人員在忙于建立網(wǎng)絡(luò)控制，但是，攻擊者花時(shí)間開(kāi)發(fā)了攻擊下一個(gè)致命弱點(diǎn)的新技術(shù)。這個(gè)弱點(diǎn)就是應(yīng)用層。市場(chǎng)研究公司Gartner最近發(fā)表的研究報(bào)告強(qiáng)調(diào)了這種威脅并且預(yù)測(cè)當(dāng)前成功的攻擊有75%以上發(fā)生在應(yīng)用層。Gartner甚至提出了一個(gè)更嚇人的預(yù)測(cè)：到2009年年底，80%的企業(yè)將成為應(yīng)用層攻擊的受害者。

為什么這些攻擊能夠這樣成功?這個(gè)答案非常簡(jiǎn)單：這些攻擊繞過(guò)了安全專(zhuān)業(yè)人員在過(guò)去的十年里安裝和運(yùn)行的全部以網(wǎng)絡(luò)為中心的控制，如端口封鎖等。傳統(tǒng)的保護(hù)一臺(tái)服務(wù)器的防火墻包含封鎖所有不需要的通訊的端口，僅允許TCP通訊通過(guò)端口80或者443穿過(guò)防火墻。遺憾的是，這種防火墻不能區(qū)分受歡迎的端口80通訊和不受歡迎的端口80通訊。

這正是應(yīng)用層防火墻發(fā)揮作用的地方。這些防火墻在HTTP通訊到達(dá)網(wǎng)絡(luò)服務(wù)器之前對(duì)這些通訊進(jìn)行應(yīng)用層檢查。這些設(shè)備能夠檢測(cè)到一個(gè)連接并且分析用戶正在提供給這個(gè)應(yīng)用程序的指令的性質(zhì)和類(lèi)型。然后，它們能夠根據(jù)已知的攻擊特征或者異常的應(yīng)用狀況分析這些通訊。

雖然應(yīng)用層防火墻有巨大的潛力，應(yīng)用這些防火墻的過(guò)程應(yīng)該是緩慢和審慎的。當(dāng)這種網(wǎng)絡(luò)防火墻最初進(jìn)入企業(yè)的時(shí)候，實(shí)施管理員一般對(duì)這些計(jì)劃都采取謹(jǐn)慎的方法，進(jìn)行認(rèn)真的分析和廣泛的測(cè)試。在部署網(wǎng)絡(luò)應(yīng)用層防火墻的時(shí)候，也應(yīng)該采取這種方法。認(rèn)真的測(cè)試可以在機(jī)構(gòu)的應(yīng)用程序開(kāi)發(fā)人員中建立信心。安全經(jīng)理能夠利用這種方法說(shuō)服他們相信這個(gè)技術(shù)將對(duì)企業(yè)有幫助，而不會(huì)影響他們的日常生活。一旦一個(gè)機(jī)構(gòu)準(zhǔn)備把這個(gè)產(chǎn)品應(yīng)用到生產(chǎn)環(huán)境，這就是他們考慮一個(gè)牢固的防火墻規(guī)則庫(kù)的時(shí)候了。下面一步一步地介紹在一個(gè)機(jī)構(gòu)中建立和部署應(yīng)用層防火墻規(guī)則庫(kù)的方法。

1.有一個(gè)適當(dāng)?shù)恼{(diào)整期?，F(xiàn)代的Web應(yīng)用層防火墻具有高級(jí)的監(jiān)視通訊和學(xué)習(xí)異常行為的能力。經(jīng)過(guò)一段時(shí)間，這種防火墻經(jīng)過(guò)“訓(xùn)練”將能夠識(shí)別這些方式和封鎖異常的通訊。然而，這種防火墻需要足夠長(zhǎng)的一段時(shí)間的訓(xùn)練，這樣，這個(gè)規(guī)則庫(kù)才能反映出網(wǎng)絡(luò)活動(dòng)中定期的和季節(jié)性的趨勢(shì)。例如，一個(gè)電子商務(wù)零售人員不會(huì)在淡季的夏天訓(xùn)練防火墻保護(hù)其網(wǎng)絡(luò)然后在繁忙的冬季圣誕節(jié)購(gòu)物季節(jié)部署這種規(guī)則庫(kù)。

2.開(kāi)發(fā)客戶化規(guī)則以補(bǔ)充廠商提供的攻擊特征。一個(gè)機(jī)構(gòu)的基礎(chǔ)設(shè)施的知識(shí)是非常重要的，客戶化一個(gè)防火墻以滿足一個(gè)公司的特殊需求能夠顯著提高這個(gè)工具的有效性。例如，如果在一個(gè)環(huán)境中只有一個(gè)Web應(yīng)用程序應(yīng)該接受文件上載，一項(xiàng)規(guī)則應(yīng)該完全封鎖所有其它系統(tǒng)的PUT指令。PUT是用于文件上載的HTTP指令。

3.首先以被動(dòng)模式開(kāi)始運(yùn)行。測(cè)試一個(gè)規(guī)則庫(kù)經(jīng)常需要一個(gè)“軟開(kāi)始”。采用這種策略，防火墻放置在網(wǎng)絡(luò)上并且配置全部建議的規(guī)則，然后，在不封鎖任何通訊的情況下以監(jiān)視模式運(yùn)行。在防火墻投入實(shí)際應(yīng)用模式之前，應(yīng)該用一些時(shí)間評(píng)估違反這個(gè)防火墻規(guī)則的通訊。負(fù)責(zé)安裝和運(yùn)行的人員在投入生產(chǎn)應(yīng)用之前還應(yīng)該調(diào)整錯(cuò)報(bào)率。由于程序員永遠(yuǎn)也不喜歡安全系統(tǒng)中斷他們的應(yīng)用程序，改善與你的開(kāi)發(fā)人員之間的關(guān)系還有很長(zhǎng)的路要走。

4.監(jiān)視、監(jiān)視、監(jiān)視。一旦防火墻以活動(dòng)模式部署完畢，就應(yīng)該密切關(guān)注防火墻。通過(guò)封鎖通訊創(chuàng)建的記錄將告訴你一個(gè)重要的故事。封鎖的攻擊記錄能夠向管理層顯示他們安全投資的回報(bào)。還會(huì)出現(xiàn)額外的錯(cuò)報(bào)。他們能夠進(jìn)一步幫助微調(diào)規(guī)則庫(kù)。同網(wǎng)絡(luò)防火墻一樣，應(yīng)用層防火墻也不是萬(wàn)靈藥。WebInspect和AppScan等工具能夠用來(lái)測(cè)試Web應(yīng)用程序的漏洞。除了進(jìn)行這些努力之外，定期進(jìn)行入侵測(cè)試也是一種堅(jiān)固的防御策略并且能夠消除許多安全專(zhuān)業(yè)人員對(duì)Web應(yīng)用程序的擔(dān)心。(techtarget)