应用防火墙——足以保证当前网络服务的安全

日期: 2008-08-12 作者:Robert L. Scheier翻译:李娜娜 来源:TechTarget中国 英文

一年前,我开始着眼于研究网络服务安全;一年后,安全所涉及的问题仍然是客户不能接受网络服务配置的主要原因之一。网络服务安全标准仍然在发展之中,相对较少的客户正在使用网络服务,他们所依赖的是一种靠得住的新版本工具:防火墙。   当防火墙用于网络中时,它会检查数据包,比如,检查数据包是否来自一个可接受的IP地址或者网址。当用于网络服务环境中时,防火墙会检查用可扩展标记语言(XML)编写的网络服务请求,或者简单对象访问协议(SOAP)所传输的网络服务请求。

  所谓的应用防火墙、XML防火墙或者XML通信网关,它们或者作为软件出售,可以在服务器上运行;或者作为专用的、严格安装的设备出售。许多产品将检测……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

一年前,我开始着眼于研究网络服务安全;一年后,安全所涉及的问题仍然是客户不能接受网络服务配置的主要原因之一。网络服务安全标准仍然在发展之中,相对较少的客户正在使用网络服务,他们所依赖的是一种靠得住的新版本工具:防火墙。

  当防火墙用于网络中时,它会检查数据包,比如,检查数据包是否来自一个可接受的IP地址或者网址。当用于网络服务环境中时,防火墙会检查用可扩展标记语言(XML)编写的网络服务请求,或者简单对象访问协议(SOAP)所传输的网络服务请求。

  所谓的应用防火墙、XML防火墙或者XML通信网关,它们或者作为软件出售,可以在服务器上运行;或者作为专用的、严格安装的设备出售。许多产品将检测网络服务信息的功能与其它功能结合起来,比如专业芯片可以加速XML信息(XML信息比网络防火墙扫描的数据包要大得多)的进程,或者提高执行身份管理的能力。

  诸如身份管理之类的功能将会越来越重要。Jason Bloomberg是马萨诸塞州瑟姆福雷斯特市的一家网络服务研究公司ZapThink LLC的高级分析家,他说:“如果有人仅仅能查看SOAP信息的内容,并获得你的信用卡号码,这并不会起到多大作用。”

  Bloomberg说:“可以防止这种偷窃行为的主要经销商有Forum Systems公司、Westbridge Technology公司、Reactivity公司、Vordel公司、Sarvega公司和 DataPower Technology公司。每家公司都自夸将安全、加速度和策略管理性能进行了不同结合。比如,DataPower公司的XS40 XML安全网关设备结合了一些安全特性:如将带有加密、解密功能的XML/SOAP防火墙与安全套接层(SSL)通信量的加速度结合起来。

  KaVaDo公司的创始人之一、技术总监Yuval Ben-Itzhak说:“KaVaDo公司将其InterDo应用层防火墙与ScanDo网络服务安全扫描器结合起来,该网络安全扫描器可以分析配置在网络服务器上的应用程序,并构建一个可接受行为或者用户请求的框架。”他还提到:“仅仅允许特殊准许的信息流通过,这样InterDo就减少了误报,否则误报会使安全管理员不安。使用ScanDo不仅仅为每个网络服务加速了创建合适安全策略的进程,也同时为网络服务中的特殊操作(诸如“核查目录级别”)加速了进程。”MagniFire WebSystems公司对其TrafficShield设备也采取了类似的方法,TrafficShield设备使用“智能、履带式技术”来编写应用程序,并自动创建一个策略来保护应用程序。

  Westbridge公司出售一种“XML通信网关”,它可以储存特定的安全策略,比如说可以为不同级别的客户或者供应者进行存储,而无需将其硬编码到网络服务中。这使得审计更容易、更便宜,需要的时候可以执行并改变这些策略。

  一些经销商也表示,他们正协商将其应用层防火墙与现有的网络防火墙结合起来,提供对数据包和XML文件的单点控制。Ben-Itzhak说:“客户正寻求应用层防火墙和网络防火墙之间、认证产品和负载平衡产品之间的更多结合。”

  但是,Champion提到,他的客户,几乎没有一个想要这样的公用设备,理由是他们担心发送网络服务信息流到网络边缘附近,会更容易受到外部攻击的威胁。

  Bloomberg说,未来另一个大的挑战是企业身份管理——可以追踪哪个用户访问了组织内部哪些资源的能力,以及了解到何时特定用户请求访问应用程序、数据库或者其它资源的能力。他指出,这在网络服务环境中是非常重要的,对于某个特定用户而言,服务请求可能是无法追踪到的,但仅对于服务器或者应用程序而言,是可以追踪到的。

  他指出,为了确保请求是来自一个合法用户,当用户进入网络时,必须要经过认证,不同的系统会产生或者接收网络服务的请求,认证之后在这些系统中必须分配一个令牌,以在其路径上跟踪这一请求。如果公司之间共用网络服务,“由于两家公司拥有独立的身份基础设施,这将是一个更大的挑战。”

  两大组织正在为这些联合的身份管理制定标准。本月,BEA Systems公司、IBM、微软、RSA Security公司和VeriSign公司发布了WS-Federation互联网交易安全标准,该标准的设计目的是为了准许不同组织的应用程序所使用的认证与访问控制系统可以共同工作。第二个是“自由联盟计划”(Liberty Alliance Project),该项目是由Sun Microsystems公司以及170多家公司、非赢利性组织和政府组织支持发起的。Bloomberg说:“现在还不是很清楚,我们是否需要一个以上的联合身份标准,或者确切的说是他们将如何共同工作。”

  直到那时,诸如Netegrity公司、RSA、Oblix公司、Novell和Sun之类的经销商会将其身份管理工具推向市场。Bloomberg将Netegrity公司称为身份管理界的领袖之一,Netegrity希望用网络服务安全的TransactionMinder,来进一步推动其SiteMinder认证技术和认证工具的成功。TransactionMinder配置了代理器,使用来自Netegrity Policy Server的数据进行身份认证,并确定谁有权访问特定的网络服务,进而对用来调用网络服务的XML文件内容进行扫描和分析。

  通过将访问执行点(代理器)从策略服务器上分离,Netegrity的机构体系比它的竞争者更容易在组织内衡量多个点——一个分布式的安全模式,许多分析家认为它比仅对网络中的点进行集中控制要好得多。

  Oblix和Westbridge最近宣布了身份管理工具和应用层防火墙的结合,这是各种各样的网络服务安全性能正集中到一个产品中的另一个标志。

  Bloomberg说,虽然经销商致力于将更多的性能融合到产品中,以及标准组织全心全意完善其标准,但那些需要网络服务的客户应该开始应用这些标准,并依赖现有的安全工具。他提出建议:“如果网络服务和以服务为标准的结构体系可以满足你现在的需求,不要再犹豫了,因为这些标准还不够成熟。”

相关推荐

  • 如何为特定场景选择应用安全工具

    在紧张的预算下实现网络和应用安全通常需要达成折中的方案,所以你要仔细地考虑确保做出正确的选择。你该选择什么呢?应用白名单、下一代防火墙、应用防火墙……

  • 利用Sniffer进行DOS攻击流量分析(附图)

    你有遇到过网络流量异常飙升的情况吗?我们应当如何查找出现这一问题的原因,并最终找到发起这一攻击的机器的IP地址?下面介绍如何用Sniffer来调查DOS攻击……

  • Web应用防火墙是如何为客户提供防护的

    Web应用防火墙与传统的网络防火墙相比有哪些优势呢?本文讲解了Web应用防火墙的作用和其工作原理,能够阻止的攻击类型和它们优于Web应用程序代码审查的原因。

  • 应用防火墙的下一代

    Web应用防火墙只是开始。为了抗衡越来越复杂的应用攻击,Web应用防火墙所提供的保护应该整合到应用保险平台中。这种架构是……