建立部署应用层防火墙规则库的四个步骤

日期: 2008-02-02 作者:Mike Chapple 来源:TechTarget中国 英文

在过去的10年里,大多数企业在网络和周边安全方面都进行了大量的投资。机构已经加强了控制并且进入了一种防御态势以显著限制黑客网络扫描的有效性。遗憾的是,虽然安全专业人员在忙于建立网络控制,但是,攻击者花时间开发了攻击下一个致命弱点的新技术。这个弱点就是应用层。

市场研究公司Gartner最近发表的研究报告强调了这种威胁并且预测当前成功的攻击有75%以上发生在应用层。Gartner甚至提出了一个更吓人的预测:到2009年年底,80% 的企业将成为应用层攻击的受害者。   为什么这些攻击能够这样成功?这个答案非常简单:这些攻击绕过了安全专业人员在过去的十年里安装和运行的全部以网络为中心的控制,如端口封……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

在过去的10年里,大多数企业在网络和周边安全方面都进行了大量的投资。机构已经加强了控制并且进入了一种防御态势以显著限制黑客网络扫描的有效性。遗憾的是,虽然安全专业人员在忙于建立网络控制,但是,攻击者花时间开发了攻击下一个致命弱点的新技术。这个弱点就是应用层。市场研究公司Gartner最近发表的研究报告强调了这种威胁并且预测当前成功的攻击有75%以上发生在应用层。Gartner甚至提出了一个更吓人的预测:到2009年年底,80% 的企业将成为应用层攻击的受害者。

  为什么这些攻击能够这样成功?这个答案非常简单:这些攻击绕过了安全专业人员在过去的十年里安装和运行的全部以网络为中心的控制,如端口封锁等。传统的保护一台服务器的防火墙包含封锁所有不需要的通讯的端口,仅允许TCP通讯通过端口80或者443穿过防火墙。遗憾的是,这种防火墙不能区分受欢迎的端口80通讯和不受欢迎的端口80通讯。

  这正是应用层防火墙发挥作用的地方。这些防火墙在HTTP通讯到达网络服务器之前对这些通讯进行应用层检查。这些设备能够检测到一个连接并且分析用户正在提供给这个应用程序的指令的性质和类型。然后,它们能够根据已知的攻击特征或者异常的应用状况分析这些通讯。

  虽然应用层防火墙有巨大的潜力,应用这些防火墙的过程应该是缓慢和审慎的。当这种网络防火墙最初进入企业的时候,实施管理员一般对这些计划都采取谨慎的方法,进行认真的分析和广泛的测试。在部署网络应用层防火墙的时候,也应该采取这种方法。认真的测试可以在机构的应用程序开发人员中建立信心。安全经理能够利用这种方法说服他们相信这个技术将对企业有帮助,而不会影响他们的日常生活。一旦一个机构准备把这个产品应用到生产环境,这就是他们考虑一个牢固的防火墙规则库的时候了。下面一步一步地介绍在一个机构中建立和部署应用层防火墙规则库的方法。

  1.有一个适当的调整期。现代的Web应用层防火墙具有高级的监视通讯和学习异常行为的能力。经过一段时间,这种防火墙经过“训练”将能够识别这些方式和封锁异常的通讯。然而,这种防火墙需要足够长的一段时间的训练,这样,这个规则库才能反映出网络活动中定期的和季节性的趋势。例如,一个电子商务零售人员不会在淡季的夏天训练防火墙保护其网络然后在繁忙的冬季圣诞节购物季节部署这种规则库。

  2.开发客户化规则以补充厂商提供的攻击特征。一个机构的基础设施的知识是非常重要的,客户化一个防火墙以满足一个公司的特殊需求能够显著提高这个工具的有效性。例如,如果在一个环境中只有一个Web应用程序应该接受文件上载,一项规则应该完全封锁所有其它系统的PUT指令。PUT是用于文件上载的 HTTP指令。

  3.首先以被动模式开始运行。测试一个规则库经常需要一个“软开始”。采用这种策略,防火墙放置在网络上并且配置全部建议的规则,然后,在不封锁任何通讯的情况下以监视模式运行。在防火墙投入实际应用模式之前,应该用一些时间评估违反这个防火墙规则的通讯。负责安装和运行的人员在投入生产应用之前还应该调整错报率。由于程序员永远也不喜欢安全系统中断他们的应用程序,改善与你的开发人员之间的关系还有很长的路要走。

  4.监视、监视、监视。一旦防火墙以活动模式部署完毕,就应该密切关注防火墙。通过封锁通讯创建的记录将告诉你一个重要的故事。封锁的攻击记录能够向管理层显示他们安全投资的回报。还会出现额外的错报。他们能够进一步帮助微调规则库。同网络防火墙一样,应用层防火墙也不是万灵药。WebInspect和AppScan等工具能够用来测试Web应用程序的漏洞。除了进行这些努力之外,定期进行入侵测试也是一种坚固的防御策略并且能够消除许多安全专业人员对Web应用程序的担心。

作者

Mike Chapple
Mike Chapple

Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。

相关推荐

  • 建立应用层防火墙规则基础

    不幸的是,当安全专家们还在忙于建立网络控制措施时,攻击者们已经开始着手开发新的技术去攻击下一个致命的弱点:应用层。

  • 采用应用层防火墙来防范互联网新威胁

    在现代的计算环境中,应用层防火墙日益显示出其可以减少攻击面的强大威力。最初的网络安全不过是使用支持访问列表的路由器来担任。

  • 应用层防火墙的优点和缺点

    应用层防火墙(application firewall)或应用程序代理(application proxy)确实有优于包过滤型和全状态包检测型(stateful packet inspection)防火墙的地方,虽然……

  • 防火墙规则管理最佳实践

    IT人员经常有变更、新应用会添加,用户来去或者角色发生变化。这些变化都要求对防火墙规则的变更,许可证也会变得混乱。本文将讨论成功变更防火墙规则的方法和技术。