应用防火墙 让黑客碰壁

应用防火墙有效

网络面临的许多安全问题单靠网络防火墙是无法解决的，必须通过一种全新设计的高性能安全代理专用设备来配合网络防火墙。具体来说，利用网络防火墙阻挡外面的端口扫描攻击，利用应用安全防护技术，深层管理和控制由用户访问外部资源而引起的应用层攻击，解决针对应用的、具有破坏性的复杂攻击。

应用防火墙真正实现了对网络应用的保护，是传统安全技术的有效补充。应用防火墙可以阻止针对Web应用的攻击，而不仅仅是验证HTTP协议。这些攻击包括利用特殊字符或通配符修改数据的数据攻击、设法得到命令串或逻辑语句的逻辑内容攻击，以及以账户、文件或主机为主要目标的目标攻击。2004年所出现的Web应用10大漏洞，应用防火墙均可以防御，未知攻击也无法越过应用防火墙。

业界标准的应用防火墙一般采用主动安全技术实现对应用的保护。主动安全技术是指建立正面规则集，也就是说明哪些行为和访问是合法的规则描述。对于接收到的应用数据（从网络协议还原出来的应用数据，不是数据报文头），判断是否符合合法规则。因为只允许通过已知的正常数据，这种方式可以防御所有的未知攻击。

应用防火墙技术是现有网络安全架构的一个重要补充，而不是取代传统防火墙和入侵检测等安全设备。传统安全设备阻挡攻击者从正面入侵，着重进行网络层的攻击防护；而应用防火墙着重进行应用层的内容检查和安全防御，与传统安全设备共同构成全面、有效的安全防护体系。

严格把关

应用防火墙安装在传统网络防火墙与应用服务器之间，在ISO模型的第七层上运行。所有的会话信息，包括上行和下行的会话信息，都要流经应用防火墙。下行请求经过应用防火墙，并且在积极模型的情况下，进行政策的解析处理。这就要求应用防火墙安装在缓存服务器的前端，以保证请求的有效性。上行请求经过只允许有效请求通过的应用防火墙，因此避免了有害请求进入服务器。应用防火墙了解解析和输出的会话请求，提供与已有应用的联机集成，并与Web应用技术相兼容。应用防火墙监听80和443 TCP端口，并从客户机接收输入的HTTP/HTTPS请求，然后解析这些请求，将这些请求与会话建立关系或者创建一次会话，然后将请求与会话的政策相匹配。如果这个请求符合安全策略，它就被转发给Web服务器，否则请求就被拒绝。

像华城技术有限公司的AppRock应用防火墙的用户行为检测技术，就是从网络数据中还原出应用数据流，并在应用数据的基础上归纳用户行为，然后进行用户行为的合法性判断，从而精确的判断出攻击行为。通过和积极安全模型结合，用户行为检测可以实现只允许发生符合正常用户行为的访问数据通过，任何异常数据都会被阻止。

实行安全策略的最佳方法就是为用户与应用系统间的交互设定一个详细模型或策略。一旦定义了合法活动，则其他活动就会被视为非法活动而被禁止访问。拥有一个可精确识别用户活动的模型对执行安全策略是至关重要的。F5网络公司的TrafficShield的应用流量模型是对合法用户与Web应用间交互的逻辑表述。应用流量模型可自动“搜寻”整个应用系统，映射用户与网站间的互动流程或全部模式。除追踪流量模式外，可映射应用系统的能力远比之前为用户互动制定模型的方法更为精确。

积极和消极

为什么应用防火墙可以阻止未知的攻击呢？这和应用防火墙的工作原理有关。从安全产品对各种攻击的应对方法来说，安全产品的工作原理有两种：积极安全防御模型和消极安全防御模型。

积极安全防御

积极安全防御的原理是：对正常的网络行为建立模型，把所有通过安全设备的网络数据拿来和保存在模型内的正常模式相匹配，如果不是这个正常范围以内，那么就认为是攻击行为，对其作出处理。这样做的最大好处是可以阻挡未知攻击。对这种方式来说，建立一个安全的、有效的模型就可以对各种攻击作出反应了。具有代表性的产品有网络防火墙、应用防火墙。

一个简单的例子就是网路防火墙中的状态检测技术，管理员可以配置基于网络地址、端口和协议的允许访问的规则，只要不是这些允许的访问，都禁止访问。在防火墙运行过程中，根据允许访问的规则建立动态状态表项，只有符合这些合法状态表项的访问数据才允许通过防火墙，其他的所有访问都禁止通行。网络防火墙在网络层做到了积极安全防御。但是对于应用层数据，由于网络防火墙不理解，所以对于应用层的攻击，网络防火墙也是无能为力的。

应用防火墙也和网络防火墙一样，通过积极安全防御模型来防范攻击，但是最大的不同是应用防火墙建立的允许访问的规则是描述应用的，而不是描述网络地址、端口和协议号等网络层的信息。应用防火墙建立对应用描述的允许规则以后，对所有的应用层数据进行检查，判断是否是允许通过的应用层数据，如果不是，就禁止通行。这样的原理可以防护未知攻击，因为各种针对应用的攻击和未知的攻击都不包括在允许访问的应用层描述规则集中。