應(yīng)用層防火墻規(guī)則庫的布署

申請免費試用、咨詢電話：400-8352-114

在過去的10年里，大多數(shù)企業(yè)在網(wǎng)絡(luò)和周邊安全方面都進(jìn)行了大量的投資。機(jī)構(gòu)已經(jīng)加強(qiáng)了控制并且進(jìn)入了一種防御態(tài)勢以顯著限制黑客網(wǎng)絡(luò)掃描的有效性。遺憾的是，雖然安全專業(yè)人員在忙于建立網(wǎng)絡(luò)控制，但是，攻擊者花時間開發(fā)了攻擊下一個致命弱點的新技術(shù)。這個弱點就是應(yīng)用層。市場研究公司Gartner最近發(fā)表的研究報告強(qiáng)調(diào)了這種威脅并且預(yù)測當(dāng)前成功的攻擊有75%以上發(fā)生在應(yīng)用層。Gartner甚至提出了一個更嚇人的預(yù)測：到2009年年底，80%的企業(yè)將成為應(yīng)用層攻擊的受害者。

為什么這些攻擊能夠這樣成功?這個答案非常簡單：這些攻擊繞過了安全專業(yè)人員在過去的十年里安裝和運行的全部以網(wǎng)絡(luò)為中心的控制，如端口封鎖等。傳統(tǒng)的保護(hù)一臺服務(wù)器的防火墻包含封鎖所有不需要的通訊的端口，僅允許TCP通訊通過端口80或者443穿過防火墻。遺憾的是，這種防火墻不能區(qū)分受歡迎的端口80通訊和不受歡迎的端口80通訊。

這正是應(yīng)用層防火墻發(fā)揮作用的地方。這些防火墻在HTTP通訊到達(dá)網(wǎng)絡(luò)服務(wù)器之前對這些通訊進(jìn)行應(yīng)用層檢查。這些設(shè)備能夠檢測到一個連接并且分析用戶正在提供給這個應(yīng)用程序的指令的性質(zhì)和類型。然后，它們能夠根據(jù)已知的攻擊特征或者異常的應(yīng)用狀況分析這些通訊。

雖然應(yīng)用層防火墻有巨大的潛力，應(yīng)用這些防火墻的過程應(yīng)該是緩慢和審慎的。當(dāng)這種網(wǎng)絡(luò)防火墻最初進(jìn)入企業(yè)的時候，實施管理員一般對這些計劃都采取謹(jǐn)慎的方法，進(jìn)行認(rèn)真的分析和廣泛的測試。在部署網(wǎng)絡(luò)應(yīng)用層防火墻的時候，也應(yīng)該采取這種方法。認(rèn)真的測試可以在機(jī)構(gòu)的應(yīng)用程序開發(fā)人員中建立信心。安全經(jīng)理能夠利用這種方法說服他們相信這個技術(shù)將對企業(yè)有幫助，而不會影響他們的日常生活。一旦一個機(jī)構(gòu)準(zhǔn)備把這個產(chǎn)品應(yīng)用到生產(chǎn)環(huán)境，這就是他們考慮一個牢固的防火墻規(guī)則庫的時候了。下面一步一步地介紹在一個機(jī)構(gòu)中建立和部署應(yīng)用層防火墻規(guī)則庫的方法。

1.有一個適當(dāng)?shù)恼{(diào)整期。現(xiàn)代的Web應(yīng)用層防火墻具有高級的監(jiān)視通訊和學(xué)習(xí)異常行為的能力。經(jīng)過一段時間，這種防火墻經(jīng)過“訓(xùn)練”將能夠識別這些方式和封鎖異常的通訊。然而，這種防火墻需要足夠長的一段時間的訓(xùn)練，這樣，這個規(guī)則庫才能反映出網(wǎng)絡(luò)活動中定期的和季節(jié)性的趨勢。例如，一個電子商務(wù)零售人員不會在淡季的夏天訓(xùn)練防火墻保護(hù)其網(wǎng)絡(luò)然后在繁忙的冬季圣誕節(jié)購物季節(jié)部署這種規(guī)則庫。

2.開發(fā)客戶化規(guī)則以補(bǔ)充廠商提供的攻擊特征。一個機(jī)構(gòu)的基礎(chǔ)設(shè)施的知識是非常重要的，客戶化一個防火墻以滿足一個公司的特殊需求能夠顯著提高這個工具的有效性。例如，如果在一個環(huán)境中只有一個Web應(yīng)用程序應(yīng)該接受文件上載，一項規(guī)則應(yīng)該完全封鎖所有其它系統(tǒng)的PUT指令。PUT是用于文件上載的HTTP指令。

3.首先以被動模式開始運行。測試一個規(guī)則庫經(jīng)常需要一個“軟開始”。采用這種策略，防火墻放置在網(wǎng)絡(luò)上并且配置全部建議的規(guī)則，然后，在不封鎖任何通訊的情況下以監(jiān)視模式運行。在防火墻投入實際應(yīng)用模式之前，應(yīng)該用一些時間評估違反這個防火墻規(guī)則的通訊。負(fù)責(zé)安裝和運行的人員在投入生產(chǎn)應(yīng)用之前還應(yīng)該調(diào)整錯報率。由于程序員永遠(yuǎn)也不喜歡安全系統(tǒng)中斷他們的應(yīng)用程序，改善與你的開發(fā)人員之間的關(guān)系還有很長的路要走。

4.監(jiān)視、監(jiān)視、監(jiān)視。一旦防火墻以活動模式部署完畢，就應(yīng)該密切關(guān)注防火墻。通過封鎖通訊創(chuàng)建的記錄將告訴你一個重要的故事。封鎖的攻擊記錄能夠向管理層顯示他們安全投資的回報。還會出現(xiàn)額外的錯報。他們能夠進(jìn)一步幫助微調(diào)規(guī)則庫。同網(wǎng)絡(luò)防火墻一樣，應(yīng)用層防火墻也不是萬靈藥。WebInspect和AppScan等工具能夠用來測試Web應(yīng)用程序的漏洞。除了進(jìn)行這些努力之外，定期進(jìn)行入侵測試也是一種堅固的防御策略并且能夠消除許多安全專業(yè)人員對Web應(yīng)用程序的擔(dān)心。(techtarget)