应用层防火墙规则库的布署

申请免费试用、咨询电话：400-8352-114

在过去的10年里，大多数企业在网络和周边安全方面都进行了大量的投资。机构已经加强了控制并且进入了一种防御态势以显著限制黑客网络扫描的有效性。遗憾的是，虽然安全专业人员在忙于建立网络控制，但是，攻击者花时间开发了攻击下一个致命弱点的新技术。这个弱点就是应用层。市场研究公司Gartner最近发表的研究报告强调了这种威胁并且预测当前成功的攻击有75%以上发生在应用层。Gartner甚至提出了一个更吓人的预测：到2009年年底，80%的企业将成为应用层攻击的受害者。

为什么这些攻击能够这样成功?这个答案非常简单：这些攻击绕过了安全专业人员在过去的十年里安装和运行的全部以网络为中心的控制，如端口封锁等。传统的保护一台服务器的防火墙包含封锁所有不需要的通讯的端口，仅允许TCP通讯通过端口80或者443穿过防火墙。遗憾的是，这种防火墙不能区分受欢迎的端口80通讯和不受欢迎的端口80通讯。

这正是应用层防火墙发挥作用的地方。这些防火墙在HTTP通讯到达网络服务器之前对这些通讯进行应用层检查。这些设备能够检测到一个连接并且分析用户正在提供给这个应用程序的指令的性质和类型。然后，它们能够根据已知的攻击特征或者异常的应用状况分析这些通讯。

虽然应用层防火墙有巨大的潜力，应用这些防火墙的过程应该是缓慢和审慎的。当这种网络防火墙最初进入企业的时候，实施管理员一般对这些计划都采取谨慎的方法，进行认真的分析和广泛的测试。在部署网络应用层防火墙的时候，也应该采取这种方法。认真的测试可以在机构的应用程序开发人员中建立信心。安全经理能够利用这种方法说服他们相信这个技术将对企业有帮助，而不会影响他们的日常生活。一旦一个机构准备把这个产品应用到生产环境，这就是他们考虑一个牢固的防火墙规则库的时候了。下面一步一步地介绍在一个机构中建立和部署应用层防火墙规则库的方法。

1.有一个适当的调整期。现代的Web应用层防火墙具有高级的监视通讯和学习异常行为的能力。经过一段时间，这种防火墙经过“训练”将能够识别这些方式和封锁异常的通讯。然而，这种防火墙需要足够长的一段时间的训练，这样，这个规则库才能反映出网络活动中定期的和季节性的趋势。例如，一个电子商务零售人员不会在淡季的夏天训练防火墙保护其网络然后在繁忙的冬季圣诞节购物季节部署这种规则库。

2.开发客户化规则以补充厂商提供的攻击特征。一个机构的基础设施的知识是非常重要的，客户化一个防火墙以满足一个公司的特殊需求能够显著提高这个工具的有效性。例如，如果在一个环境中只有一个Web应用程序应该接受文件上载，一项规则应该完全封锁所有其它系统的PUT指令。PUT是用于文件上载的HTTP指令。

3.首先以被动模式开始运行。测试一个规则库经常需要一个“软开始”。采用这种策略，防火墙放置在网络上并且配置全部建议的规则，然后，在不封锁任何通讯的情况下以监视模式运行。在防火墙投入实际应用模式之前，应该用一些时间评估违反这个防火墙规则的通讯。负责安装和运行的人员在投入生产应用之前还应该调整错报率。由于程序员永远也不喜欢安全系统中断他们的应用程序，改善与你的开发人员之间的关系还有很长的路要走。

4.监视、监视、监视。一旦防火墙以活动模式部署完毕，就应该密切关注防火墙。通过封锁通讯创建的记录将告诉你一个重要的故事。封锁的攻击记录能够向管理层显示他们安全投资的回报。还会出现额外的错报。他们能够进一步帮助微调规则库。同网络防火墙一样，应用层防火墙也不是万灵药。WebInspect和AppScan等工具能够用来测试Web应用程序的漏洞。除了进行这些努力之外，定期进行入侵测试也是一种坚固的防御策略并且能够消除许多安全专业人员对Web应用程序的担心。(techtarget)