返回
应用层防火墙选择与配置的最佳方式

应用层防火墙选择与配置的最佳方式

ID:24872411

大小:53.50 KB

页数:6页

时间:2018-11-16

应用层防火墙选择与配置的最佳方式_第1页
应用层防火墙选择与配置的最佳方式_第2页
应用层防火墙选择与配置的最佳方式_第3页
应用层防火墙选择与配置的最佳方式_第4页
应用层防火墙选择与配置的最佳方式_第5页
资源描述:

《应用层防火墙选择与配置的最佳方式》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、应用层防火墙选择与配置的最佳方式~教育资源库  应用层防火墙已经成为那些对法规遵从感兴趣的人们谈论的热点话题。支付卡行业数据安全标准(PCIDSS)原来只推荐应用层防火墙作为最佳方式。该标准将要求公司要么安装这种防火墙,要么进行代码检查。  今天,虽然多数机构多少拥有一些边界防火墙,可以保护网络不受恶意的因特网信息流的攻击,但是这些种类的防火墙并不能保护企业,使其免于受到穿越应用程序的威胁。  据反恶意软件经销商Sophosplc和SymantecCorp.的报告称,最近,应用层防火墙已经出现,它是一种防御Web应用攻

2、击的工具。Web应用程序攻击是一种最常见的入侵类型。传统的网络防火墙不能检测到应用攻击,原因是它们在合法应用程序的开放端口上才能起作用。虽然网络防火墙检查端口和packetheaders,但是,它们并不能核查应用程序和应用程序数据,它们可以在通过开放防火墙端口时,不知不觉地隐藏恶意活动。由于大多数Web信息流通过端口80或者端口443,而关闭这些端口是不现实的。  PCIDSS也已经开始关注应用层防火墙。名声不太好的Section6.6涵盖了Web应用程序安全,号召公司对其应用程序进行代码核查,或者使用应用层防火墙,来

3、保护用于处理信用卡的代码。  不幸的是,PCIDSSSection6.6将应用程序安全解释为一种非此即彼的命题,但是它远比这个要复杂得多。应用安全不仅仅是关于代码核查或者防火墙;在一些情况下,它可以意味着两者兼而有之。网络安全是关于关闭端口和关闭不必要的服务,应用程序安全与此不同,它是有关保护编码和设计的。  正如任何安全工具或者做法,应用层防火墙应当仅仅被看作是较大规模安全程序的一部分,并不是单一的防御Web应用攻击的一种方式。它应当是多层防御的一种。多层防御包括应用漏洞、渗透测试以及个软件开发生命周期中的安全漏洞的

4、代码核查。  选择并配置应用层防火墙  在考虑应用层防火墙时,每个企业应该注意四个因素。我们来分别看一下这些因素,以及现在市场上的一些应用层防火墙。  首先,它真的是应用层防火墙吗?或者仅仅是一种深度信息包检测器?该区别很重要。为了与PCI一致,它必须是一个真正的应用层防火墙,而不是一个冒名顶替的工具。  一个真正的应用层防火墙可以检测应用程序的信息流,以防诸如SQL注入或者跨站脚本攻击(XSS)之类的恶意代码。当然,这就要求深度信息包检测,但是深度信息包检测仅仅查找信息流中诸如恶意软件和间谍软件之类的攻击,而无法检测

5、到通过应用程序发送的恶意代码。  传统的网络防火墙仅仅可以检测packetheaders,与之不同的是,深度信息包检测可以检测信息包内部及其内容。这虽然绝对可以增强防火墙的能力,但并不能算作一种防止攻击的防御,它仍然有一些局限性。  另一种常见的误解是将应用层防火墙与网络安全网关和内容过滤产品混为一谈。不要因为安装了一个应用层防火墙,就关闭你的BlueCoat、Vontu或者Vericept系统。这两种产品进行不同的工作。内容过滤产品可以阻止不合适的网站,或者基于Web的电子邮件,这些都可能包含恶意软件。但是同样地,它

6、们不能捕获网络应用攻击,有时这仅仅是网站内容的一部分。虽然这两种产品都可以使用URL过滤,但是,应用层防火墙可以在URL中查找恶意代码:比如XSS攻击中使用的JavaScript;而内容过滤器仅仅在网络地址本身中查找。  尽管如此,网络安全网关、内容过滤产品和应用层防火墙已经慢慢地融合为统一的工具。该发展是自然而然的,因为许多威胁也已经结合起来并且现在需要多层防御。比如,虽然该内容过滤器可能会也可能不会阻止恶意站点,但是应用层防火墙会阻止它所携带的恶意代码。  在最低程度上,应用层防火墙应该防止注入攻击,比如SQL注入

7、和XSS、会话劫持、扫描和检索、cookie纂改、以及路径遍历(pathtraversal)企图。应用层防火墙可以核查尖峰或者不规则信息流模式,进而阻止拒绝服务(DoS)攻击,也可以能够处理标准的HTTP和SSL信息流。  第二,应用层防火墙是否允许通过访问控制的精细保护?访问控制是流程稽核的一大部分。不仅仅是PCI,SOX和HIPAA都要求全部核查哪些人访问了企业的系统,以及他们都访问了什么。应用层防火墙可以扮演监测这个访问的角色。  在应用层防火墙中搜索的第二个特征是其与身份和访问管理系统的结合能力。这使得防火墙调

8、整到允许员工访问特定的Web应用程序,但是不允许公司其他任何人访问。一些员工可能需要访问基于Web的电子邮件或WebEx,来进行其工作。如果防火墙与公司的诸如ActiveDirectory或者LDAP之类的目录服务结合起来的话,这是可以调整的。访问应用程序可以添加到员工的配置里。  应用层防火墙本身,与其相对的网络防火墙一样,也应

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。