应用层防火墙

关于OSI的进一步说明

选择并配置应用层防火墙

应用层防火墙

应用层网关（Application level gateway），也叫做应用层防火墙或应用层代理防火墙，通常用于描述第三代防火墙。当一个用户在这个可信赖的网络希望连接到在不被信赖的网络的服务例如因特网，这个应用专注于在防火墙上的代理服务器。这个代理服务器有效地伪装成在因特网上的真实服务器。它评估请求和决定允许或拒绝基于一系列被个人网络服务管理规则的请求。

应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

在现代的计算环境中，应用层防火墙日益显示出其可以减少攻击面的强大威力。

最初的网络安全不过是使用支持访问列表的路由器来担任。对简单的网络而言，仅使用访问控制列表和一些基本的过滤功能来管理一个网络对于未授权的用户而言已经足够。因为路由器位于每个网络的中心，而且这些设备还被用于转发与广域网的通信。

但路由器仅能工作在网络层，其过滤方式多少年来并没有根本性的变化。制造路由器的公司也为增强安全性在这一层上也是下足了工夫。更明确地讲，所有的安全措施只不过存在于路由器所在的网络层而已。

第三代防火墙称为应用层防火墙或代理服务器防火墙，这种防火墙在两种方向上都有“代理服务器”的能力，这样它就可以保护主体和客体，防止其直接联系。代理服务器可以在其中进行协调，这样它就可以过滤和管理访问，也可以管理主体和客体发出和接收的内容。这种方法可以通过以各种方式集成到现有目录而实现，如用户和用户组访问的LDAP。

应用层防火墙还能够仿效暴露在互联网上的服务器，因此正在访问的用户就可以拥有一种更加快速而安全的连接体验。事实上，在用户访问公开的服务器时，他所访问的其实是第七层防火墙所开放的端口，其请求得以解析，并通过防火墙的规则库进行处理。一旦此请求通过了规则库的检查并与不同的规则相匹配，就会被传递给服务器。这种连接在是超高速缓存中完成的，因此可以极大地改善性能和连接的安全性。

而在OSI模型中，第五层是会话层，第七层是应用层。应用层之上的层为第八层，它在典型情况下就是保存用户和策略的层次。

关于OSI的进一步说明

OSI是一个网络架构的分层模型。它描述和规定了两个互联的系统如何通信。其中，顶层在典型情况下即为“基于代理服务器的防火墙”所工作的层次。应用层防火墙是第三代防火墙，,这种防火墙可以向下扫描其下的各层。在与会话层防火墙或电路层防火墙比较时，这种应用层防火墙可以集成会话层防火墙的特性和反向代理服务器等其它高级特性，从而实现更安全的网站访问。

当今的攻击已经发展得相当高级，多数会话层防火墙甚至并不能阻止多数基本的应用型攻击。因此，我们需要向第五层防火墙道别或者用更加安全的“应用层防火墙” 来替换之。

应用层防火墙已经成为那些对法规遵从感兴趣的人们谈论的热点话题。支付卡行业数据安全标准（PCI DSS）原来只推荐应用层防火墙作为最佳方式。该标准将要求公司要么安装这种防火墙，要么进行代码检查。

今天，虽然多数机构多少拥有一些边界防火墙，可以保护网络不受恶意的因特网信息流的攻击，但是这些种类的防火墙并不能保护用户，使其免于受到穿越应用程序的威胁。

据反恶意软件经销商Sophos plc和Symantec Corp.的报告称，最近，应用层防火墙已经出现，它是一种防御Web应用攻击的工具。Web应用程序攻击是一种最常见的入侵类型。传统的网络防火墙不能检测到应用攻击，原因是它们在合法应用程序的开放端口上才能起作用。虽然网络防火墙检查端口和packet headers，但是，它们并不能核查应用程序和应用程序数据，它们可以在通过开放防火墙端口时，不知不觉地隐藏恶意活动。由于大多数Web信息流通过端口80或者端口443，而关闭这些端口是不现实的。

PCI DSS也已经开始关注应用层防火墙。名声不太好的Section 6.6涵盖了Web应用程序安全，号召公司对其应用程序进行代码核查，或者使用应用层防火墙，来保护用于处理信用卡的代码。

不幸的是，PCI DSS Section 6.6将应用程序安全解释为一种非此即彼的命题，但是它远比这个要复杂得多。应用安全不仅仅是关于代码核查或者防火墙；在一些情况下，它可以意味着两者兼而有之。网络安全是关于关闭端口和关闭不必要的服务，应用程序安全与此不同，它是有关保护编码和设计的。

正如任何安全工具或者做法，应用层防火墙应当仅仅被看作是较大规模安全程序的一部分，并不是单一的防御Web应用攻击的一种方式。它应当是多层防御的一种。多层防御包括应用漏洞、渗透测试以及个软件开发生命周期中的安全漏洞的代码核查。

选择并配置应用层防火墙

在考虑应用层防火墙时，每个用户应该注意四个因素。我们来分别看一下这些因素，以及现在市场上的一些应用层防火墙。

首先，它真的是应用层防火墙吗？或者仅仅是一种深度信息包检测器？该区别很重要。为了与PCI一致，它必须是一个真正的应用层防火墙，而不是一个冒名顶替的工具。

一个真正的应用层防火墙可以检测应用程序的信息流，以防诸如SQL注入或者跨站脚本攻击（XSS）之类的恶意代码。当然，这就要求深度信息包检测，但是深度信息包检测仅仅查找信息流中诸如恶意软件和间谍软件之类的攻击，而无法检测到通过应用程序发送的恶意代码。

传统的网络防火墙仅仅可以检测packet headers，与之不同的是，深度信息包检测可以检测信息包内部及其内容。这虽然绝对可以增强防火墙的能力，但并不能算作一种防止攻击的防御，它仍然有一些局限性。

另一种常见的误解是将应用层防火墙与网络安全网关和内容过滤产品混为一谈。不要因为安装了一个应用层防火墙，就关闭你的Blue Coat、Vontu或者Vericept系统。这两种产品进行不同的工作。内容过滤产品可以阻止不合适的网站，或者基于Web的电子邮件，这些都可能包含恶意软件。但是同样地，它们不能捕获网络应用攻击，有时这仅仅是网站内容的一部分。虽然这两种产品都可以使用URL过滤，但是，应用层防火墙可以在URL中查找恶意代码：比如XSS攻击中使用的JavaScript；而内容过滤器仅仅在网络地址本身中查找。

尽管如此，网络安全网关、内容过滤产品和应用层防火墙已经慢慢地融合为统一的工具。该发展是自然而然的，因为许多威胁也已经结合起来并且现在需要多层防御。比如，虽然该内容过滤器可能会也可能不会阻止恶意站点，但是应用层防火墙会阻止它所携带的恶意代码。