应用防火墙选购建议

整合型应用系统(ITinBOX)更多资料请访问，合作联系电话010－82921558或者邮件[email protected]

应用防火墙作为新一代保护网络应用的产品，正越来越多的应用到网络安全的部署中。由于应用防火墙技术很多用户不是非常了解，也导致了在选购应用防火墙时的不准确。
理解应用层数据
应用防火墙与网络防火墙相比，前者时处理应用层数据，后者时处理网络层数据。应用防火墙是针对具体应用的专用防火墙，比如针对web应用的web应用防火墙，针对数据库的数据库应用防火墙。这些应用防火墙必须还原出上层协议的信息，根据协议的规定和用户指定的规则对应用层数据进行判断。
对于Web应用防火墙，能够理解用户请求的是什么网页，是在提交用户信息，还是在访问某个新闻页面。同时，能够理解用户提交的各种信息，比如用户名，密码，身份证号码等。只有理解这些应用层的信息，才可能针对各个不同的应用发挥保护作用。所以，在选购应用防火墙时，必须确定厂家宣称的应用防火墙是否真正能够理解应用层的数据。 .
积极安全防御
积极安全防御的原理是：对正常的网络行为建立模型，在把所有的网络数据拿来和保存在模型内的正常模式相匹配，如果不是这个正常范围以内，那么就认为是攻击行为，对其做出处理。这样做的最大好处是可以阻挡任何未知攻击，即：黑客才发现的不为人所知的攻击方式——网络安全的最大隐患。对这种方式来说，建立一个安全的、有效的模型就可以对各种攻击做出反应了。
只有建立在积极安全模型上的保护应用安全的产品才能称为真正的应用防火墙。目前市场上有一些通过建立针对应用的攻击特征库来检查攻击数据的应用安全产品，这种产品需要预先配置攻击特征库，对于未发现的攻击是无能为力的。这样的产品可以看作是针对应用的IDS或者IPS产品，而不能算作是真正的应用防火墙产品。在选购应用防火墙时，可以通过产品是否提供针对正常应用的规则配置来确定是否具有积极安全防御的特性。

处理性能
由于应用防火墙需要处理应用层数据，必须要对网络的报文进行重组，流还原和协议解析等处理，其复杂程度远远高于基于单个报文仅仅处理网络层信息的传统网路安全设备。为了保证已有网络的可用性和实时性，，应用防火墙不能成为应用的瓶颈，必须使用高速的处理算法和新一代的硬件平台。 .
    在选购应用防火墙时，需要确定产品的性能指标是否适合被保护的应用环境。一些针对应用层的指标，如http会话并发数，每秒请求数等是否满足要求。另外，针对提供硬件平台的产品，需要关心硬件的性能是否高于同档次的传统防火墙产品。比如，如果厂家宣称其应用防火墙的处理能力能够达到数据转发速率是每秒100兆，那么它的硬件处理能力必须强于同样标称为每秒100兆的网络防火墙。可以通过比较cpu性能，内存，接口总线带宽等来衡量硬件的性能指标。

应用层会话管理
应用层防火墙最好具有应用层会话管理的功能，才能做到基于对用户行为的检测功能。比如Web应用防火墙，必须能够实现建立http会话的能力，因为http协议本身是一个无状态的协议，只有建立起应用层的会话管理，才能够精确的判断用户是否在进行攻击行为。应用层会话管理一般包括http会话建立，同时也需要能够保护已有客户端和服务器的会话维护信息，如提供cookie验证功能，cookie加密功能。
    在选购时，必须确认厂商宣称的会话管理不是基于传统网络层防火墙的网络层信息五元组的会话信息，而是真正可以标识真实用户访问行为的应用层会话管理能力。


安全规则的配置 .
针对应用防火墙，同眼需要建立安全规则。这个安全规则时基于应用的，而不是简单的基于IP地址、端口等网络层信息。比如针对web应用防火墙来说，安全规则必须包含允许用户请求的http方法；各个缓冲区的合法长度；允许上传和下载文件类型；允许用户进行动态提交的内容等信息。网络层安全产品都是不具备这种规则的配置的，这也是区分网络层安全产品和应用防火墙的一个特征。
由于针对应用层的安全规则包含的信息非常复杂，而且，针对不同的商业应用环境，规则都需要重新配置，这个配置工作量时非常巨大的。比如保护Web应用的Web应用防火墙，真实世界中的Web应用非常复杂，而且网站在不断的动态变化。
一个Web应用中很可能有上千个URL（对于新闻、论坛等Web应用，这个数目很容易就超过数十万）
每个URL中可能含有多个变量个SQL查询代码
每个Web应用有成百上千个用户
每天都有很多Web设计则改变网站
每个应用使用的后台服务器都不一样
如果使用传统的配置方法，那么应用防火墙的管理员必须理解每个应用，每个网页的作用，每次提交的请求，甚至每个提交变量的范围，然后创建针对每个URL，每个请求串，每个变量的安全规则，并且，时刻都需要根据Web应用的变化来改变应用防火墙上的安全规则。这些在现实中做到是非常困难的。由于存在这些问题，传统的配置方式不能够满足应用防火墙策略周全性和变化性的特点，需要应用新的方式来满足应用防火墙的安全策略配置。AppRock? 应用防火墙实现了动态策略学习，在可信任用户与应用互动时学习合法应用逻辑，然后建立有效的针对Web内容交互的安全策略数据库。通过建立的安全策略数据库对应用服务器进行保护。 .

    总之，选购应用防火墙时最好咨询多个厂家，相互比较功能，根据具体的环境选择合适的应用防火墙产品。

整合型应用系统(ITinBOX)更多资料请访问，合作联系电话010－82921558或者邮件[email protected] .