应用防火墙 让黑客碰壁

消极安全防御

消极安全防御的原理是：对已经发现的攻击方式，经过专家分析后给出其特征进而来构建攻击特征集，然后在网络数据中寻找与之匹配的行为，从而起到发现或阻挡的作用。它的缺点是使用消极安全防御体系的安全产品不能对未被发现的攻击方式作出反应。具有代表性的产品有入侵检测系统（IDS）、入侵防御系统（IPS）、病毒防火墙等。

使用消极安全防御模型的产品，可以作为网络安全防御体系中的一个补充，但是由于对未知攻击的无能为力以及不断的数据库更新，起到的作用比较有限，同时对网络的性能有一定的影响。

可以看出，积极安全防御更加安全和有效，但是它的技术实现也更加复杂。随着厂商对积极安全防御的重视，以及技术的不断发展，使用积极安全防御模型的安全产品将会日益完善。

6方面考察应用防火墙如果你是某网站的CIO，发现网站的重要资料被窃，但是防火墙上没有任何攻击日志，那你就要考虑购买应用防火墙了。选择应用防火墙，需要关注6个方面：1.理解应用层数据。Web应用防火墙能够理解用户请求的是什么网页，是在提交用户信息，还是在访问某个新闻页面。同时，能够理解用户提交的各种信息，比如用户名、密码、身份证号码等。只有理解这些应用层的信息，才可能针对各个不同的应用发挥保护作用。所以，在选购应用防火墙时，必须确定厂家宣称的应用防火墙是否真正能够理解应用层的数据。

2.积极安全防御。只有建立在积极安全模型上的保护应用安全的产品才能称为真正的应用防火墙。目前市场上有一些通过建立针对应用的攻击特征库来检查攻击数据的应用安全产品，这种产品需要预先配置攻击特征库，对于未发现的攻击是无能为力的。这样的产品可以看作是针对应用的IDS或者IPS产品，而不能算作是真正的应用防火墙产品。在选购应用防火墙时，可以通过产品是否提供针对正常应用的规则配置来确定是否具有积极安全防御的特性。

3.处理性能。由于应用防火墙需要处理应用层数据，必须要对网络的报文进行重组、流还原和协议解析等处理，其复杂程度远远高于基于单个报文、仅仅处理网络层信息的传统网络安全设备。为了保证已有网络的可用性和实时性，应用防火墙不能成为应用的瓶颈，必须使用高速的处理算法和新一代的硬件平台。

在选购应用防火墙时，需要确定产品的性能指标是否适合被保护的应用环境。一些针对应用层的指标，如HTTP会话并发数、每秒请求数等是否满足要求。另外，针对提供硬件平台的产品，需要关心硬件的性能是否高于同档次的传统防火墙产品。比如，如果厂家宣称其应用防火墙的处理能力能够达到数据转发速率是每秒100兆，那么它的硬件处理能力必须强于同样标称为每秒100兆的网络防火墙。可以通过比较CPU性能、内存、接口总线带宽等来衡量硬件的性能指标。

4.应用层会话管理。应用层防火墙最好具有应用层会话管理的功能，才能做到基于对用户行为的检测功能。比如Web应用防火墙，必须能够实现建立HTTP会话的能力，因为HTTP协议本身是一个无状态的协议，只有建立起应用层的会话管理，才能够精确的判断用户是否在进行攻击行为。应用层会话管理一般包括HTTP会话建立，同时也需要能够保护已有客户端和服务器的会话维护信息，如提供Cookie验证功能、Cookie加密功能。

在选购时，必须确认厂商宣称的会话管理不是基于传统网络层防火墙的网络层信息五元组的会话信息，而是真正可以标识用户访问行为的应用层会话管理能力。

5.智能的安全规则配置。针对应用防火墙，同样需要建立安全规则。这个安全规则是基于应用的，而不是简单的基于IP地址、端口等网络层信息。比如针对Web应用防火墙来说，安全规则必须包含允许用户请求的HTTP方法、各个缓冲区的合法长度、允许上传和下载文件类型、允许用户进行动态提交的内容等信息。网络层安全产品都是不具备这种规则的配置的，这也是区分网络层安全产品和应用防火墙的一个特征。

由于针对应用层的安全规则包含的信息非常复杂，而且，针对不同的商业应用环境，规则都需要重新配置，这个配置工作量是非常巨大的。真实世界中的Web应用非常复杂，而且网站在不断的动态变化。如果使用传统的配置方法，那么应用防火墙的管理员必须理解每个应用、每个网页的作用、每次提交的请求，甚至每个提交变量的范围，然后创建针对每个URL、每个请求串、每个变量的安全规则，并且，时刻都需要根据Web应用的变化来改变应用防火墙上的安全规则。要在现实中做到这些是非常困难的，传统的配置方式不能够满足应用防火墙策略周全性和变化性的特点，需要应用智能的方式来满足应用防火墙的安全策略配置。

6.稳定性。由于很多Web应用和企业的商业利益息息相关，不能容忍访问中断，因此，放在应用前面的应用防火墙必须要有很高的稳定性，不能成为故障点。