應用層防火墻規(guī)則庫的布署

申請免費試用、咨詢電話：400-8352-114

在過去的10年里，大多數(shù)企業(yè)在網(wǎng)絡和周邊安全方面都進行了大量的投資。機構(gòu)已經(jīng)加強了控制并且進入了一種防御態(tài)勢以顯著限制黑客網(wǎng)絡掃描的有效性。遺憾的是，雖然安全專業(yè)人員在忙于建立網(wǎng)絡控制，但是，攻擊者花時間開發(fā)了攻擊下一個致命弱點的新技術。這個弱點就是應用層。市場研究公司Gartner最近發(fā)表的研究報告強調(diào)了這種威脅并且預測當前成功的攻擊有75%以上發(fā)生在應用層。Gartner甚至提出了一個更嚇人的預測：到2009年年底，80%的企業(yè)將成為應用層攻擊的受害者。

為什么這些攻擊能夠這樣成功?這個答案非常簡單：這些攻擊繞過了安全專業(yè)人員在過去的十年里安裝和運行的全部以網(wǎng)絡為中心的控制，如端口封鎖等。傳統(tǒng)的保護一臺服務器的防火墻包含封鎖所有不需要的通訊的端口，僅允許TCP通訊通過端口80或者443穿過防火墻。遺憾的是，這種防火墻不能區(qū)分受歡迎的端口80通訊和不受歡迎的端口80通訊。

這正是應用層防火墻發(fā)揮作用的地方。這些防火墻在HTTP通訊到達網(wǎng)絡服務器之前對這些通訊進行應用層檢查。這些設備能夠檢測到一個連接并且分析用戶正在提供給這個應用程序的指令的性質(zhì)和類型。然后，它們能夠根據(jù)已知的攻擊特征或者異常的應用狀況分析這些通訊。

雖然應用層防火墻有巨大的潛力，應用這些防火墻的過程應該是緩慢和審慎的。當這種網(wǎng)絡防火墻最初進入企業(yè)的時候，實施管理員一般對這些計劃都采取謹慎的方法，進行認真的分析和廣泛的測試。在部署網(wǎng)絡應用層防火墻的時候，也應該采取這種方法。認真的測試可以在機構(gòu)的應用程序開發(fā)人員中建立信心。安全經(jīng)理能夠利用這種方法說服他們相信這個技術將對企業(yè)有幫助，而不會影響他們的日常生活。一旦一個機構(gòu)準備把這個產(chǎn)品應用到生產(chǎn)環(huán)境，這就是他們考慮一個牢固的防火墻規(guī)則庫的時候了。下面一步一步地介紹在一個機構(gòu)中建立和部署應用層防火墻規(guī)則庫的方法。

1.有一個適當?shù)恼{(diào)整期。現(xiàn)代的Web應用層防火墻具有高級的監(jiān)視通訊和學習異常行為的能力。經(jīng)過一段時間，這種防火墻經(jīng)過“訓練”將能夠識別這些方式和封鎖異常的通訊。然而，這種防火墻需要足夠長的一段時間的訓練，這樣，這個規(guī)則庫才能反映出網(wǎng)絡活動中定期的和季節(jié)性的趨勢。例如，一個電子商務零售人員不會在淡季的夏天訓練防火墻保護其網(wǎng)絡然后在繁忙的冬季圣誕節(jié)購物季節(jié)部署這種規(guī)則庫。

2.開發(fā)客戶化規(guī)則以補充廠商提供的攻擊特征。一個機構(gòu)的基礎設施的知識是非常重要的，客戶化一個防火墻以滿足一個公司的特殊需求能夠顯著提高這個工具的有效性。例如，如果在一個環(huán)境中只有一個Web應用程序應該接受文件上載，一項規(guī)則應該完全封鎖所有其它系統(tǒng)的PUT指令。PUT是用于文件上載的HTTP指令。

3.首先以被動模式開始運行。測試一個規(guī)則庫經(jīng)常需要一個“軟開始”。采用這種策略，防火墻放置在網(wǎng)絡上并且配置全部建議的規(guī)則，然后，在不封鎖任何通訊的情況下以監(jiān)視模式運行。在防火墻投入實際應用模式之前，應該用一些時間評估違反這個防火墻規(guī)則的通訊。負責安裝和運行的人員在投入生產(chǎn)應用之前還應該調(diào)整錯報率。由于程序員永遠也不喜歡安全系統(tǒng)中斷他們的應用程序，改善與你的開發(fā)人員之間的關系還有很長的路要走。

4.監(jiān)視、監(jiān)視、監(jiān)視。一旦防火墻以活動模式部署完畢，就應該密切關注防火墻。通過封鎖通訊創(chuàng)建的記錄將告訴你一個重要的故事。封鎖的攻擊記錄能夠向管理層顯示他們安全投資的回報。還會出現(xiàn)額外的錯報。他們能夠進一步幫助微調(diào)規(guī)則庫。同網(wǎng)絡防火墻一樣，應用層防火墻也不是萬靈藥。WebInspect和AppScan等工具能夠用來測試Web應用程序的漏洞。除了進行這些努力之外，定期進行入侵測試也是一種堅固的防御策略并且能夠消除許多安全專業(yè)人員對Web應用程序的擔心。(techtarget)