防火墙安全选择策略

防火墙安全选择策略在6月份的时候有这样一则新闻：美国科学家表示，很多网站目前都面临一种新形式网络攻击“HTTP恳求走私”的威逼，这种攻击将有害的数据包隐蔽在看似合法的数据包中，通过HTTP恳求破坏网站。

专家发觉，“HTTP恳求走私”最简洁的一种攻击形式是添加多余的“内容长度的头信息标签”。通常，当扫瞄器发出网页恳求时，它会发送包含具体请求内容的数据包。一般状况下，数据包中只包含一个“内容长度的头信息标签”，以保证需要处理的数据大小。而在“HTTP恳求走私”中，可能会消失两个以上“内容长度的头信息标签”。科学家发觉，不同的网站在遭到这种攻击时会作出不同的反应，很可能会造成处理错误。另外，“HTTP恳求走私”能够突破平安过滤器，可以将新网站非法上载到网站缓冲区中。

专家认为，黑客可能很快就会利用“HTTP恳求走私”，对网站进行大规模攻击。最好的防范措施，就是严格遵循超文本数据传输协议的各项要求。同时，专家也认为，之所以消失“HTTP恳求走私”，说明超文本传输协议存在漏洞，应对其进行修改。

这条新闻所提到的攻击只是网站所面对的众多攻击中的比较新的一个。随着互联网的飞速进展，Web应用也日益增多。今日，商业交易的各个部分都正在向Web上转移，但每增加一个新的基于Web的应用系统，都会导致之前处于爱护状态下的后端系统直接连接到互联网上，最终的结果就是将公司的关键数据置于外界攻击之下。

据Gartner调查显示，现在有75%的攻击都是针对Web应用层发起的。尤其是金融服务业成为了众矢之的，而攻击者的主要目的就是直接猎取个人数据。

据美国计算机平安协会(CSI)/美国联邦调查局(FBI)的讨论表明，在接受调查的公司中，2024年有52%的公司的系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等)，这些攻击给269家受访公司带来的经济损失超过1.41亿美元，但事实上他们中有98%的公司都装有防火墙。

为什么防火墙没有防住攻击?由于他们安装的是网络防火墙，而真正能防备这些攻击的是应用防火墙。早在2024年，IDC就曾在报告中认为，“网络防火墙对应用层的平安已起不到什么作用了，由于为了确保通信，网络防火墙内的端口都必需处于开放状态。”

从概念走向有用

应用防火墙其实是个平安“老兵”了。在十几年前，就已经消失了应用防火墙的概念。但是为什么迟迟没有产品消失呢?华城技术有限公司负责人杨磊说：“由于系统的硬件平台跟不上。以前，网络层数据的转发处理就占用了CPU大量的资源，CPU根本无法再做应用层的处理;而可以进行高速网络数据处理的ASIC技术又处理不了应用层数据的简单性，所以应用防火墙没有诞生的条件。”随着NP(网络处理器)性能的快速提升，特殊是基于通用CPU的多核NP体系(例如Broad的双核NP1250，将2个64位MIPS芯片集成在一块处理器芯片里面，而且后续推出了集成4个CPU的处理器;而Cavium公司也推出了集成16个MIPSCPU和硬件加速处理单元的网络服务处理器OCTEON)产生之后，利用多CPU的并行处理力量和软件的灵活性，应用防火墙可以实现对简单应用的平安处理，并且能够达到千兆线速的性能。

在2024年，应用防火墙最终冲破概念的围城，真正实现了产品化。国外有Teros、Sanctum、Netcontinuum和Kavado等厂商推出了Web应用防火墙，目前在国内记者看到的产品仅仅有华城技术(secnumen)的AppRock和F5网络公司的TrafficShield.

现在我们所说的应用防火墙，一般是指Web应用防火墙和数据库防火墙(也叫SQL防火墙)，而现在我们所能见到的产品基本都是Web应用防火墙。

应用前面的铜墙铁壁

安装了网络防火墙和IDS，就能抵抗应用层攻击吗?不能。由于在爱护应用方面，网络防火墙和IDS各有不足。

网络防火墙有洞

网络防火墙技术的进展已经特别成熟，也是目前网络平安技术中最有用和作用最大的技术。但是，作为目前应用最为广泛的HTTP服务器等应用服务器，通常是部署在防火墙的DMZ区域，防火墙完全向外部网络开放HTTP应用端口，这种方式对于HTTP应用没有任何的爱护作用。即使使用HTTP代理型的防火墙，防火墙也只是验证HTTP协议本身的合法性，完全不能理解HTTP协议所承载的数据，也无从推断对HTTP服务器的访问行为是否合法。攻击者知道正面攻破网络防火墙非常困难，于是从简洁的端口扫描攻击转向通过应用层协议进入企业内部，目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议有深厚的理解，即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区分。一个最简洁的例子就是在恳求中包含SQL注入代码，或者提交可以完成猎取其他用户认证信息的跨站脚本，这些数据不管是在传统防火墙所处理的网络层和传输层，还是在代理型防火墙所处理的协议会话层，都会认为是合法的。

明白了防火墙的工作原理，我们就知道，对于应用层攻击，网络防火墙是无能为力的。

入侵检测有限

目前最成熟的入侵检测技术就是攻击特征检测。入侵检测系统首先建立一个包含目前大多已知攻击特征的数据库，然后检测网络数据中的每一个报文，推断是否含有数据库中的任何一个攻击特征，假如有，则认为发生相应的攻击，否则认为是合法的数据。

入侵检测系统作为防火墙的有力补充，加强了网络的平安防备力量。但是，入侵检测技术的作用存在肯定的局限性。由于需要预先构造攻击特征库来匹配网络数据，对于未知攻击和不能有效提取攻击特征的攻击，入侵检测系统不能检测和防备。另外就是其技术实现的冲突，假如需要防备更多的攻击，那么就需要许多的规章，但是随着规章的增多，系统消失的虚假报告(对于入侵防备系统来说，会产生中断正常连接的问题)率就会上升，同时，系统的效率会降低。

对于应用攻击，入侵检测系统可以有效的防备部分攻击，但不是全部。

应用防火墙有效

网络面临的很多平安问题单靠网络防火墙是无法解决的，必需通过一种全新设计的高性能平安代理专用设备来协作网络防火墙。详细来说，利用网络防火墙阻挡外面的端口扫描攻击，利用应用平安防护技术，深层管理和掌握由用户访问外部资源而引起的应用层攻击，解决针对应用的、具有破坏性的简单攻击。

应用防火墙真正实现了对网络应用的爱护，是传统平安技术的有效补充。应用防火墙可以阻挡针对Web应用的攻击，而不仅仅是验证HTTP协议。这些攻击包括利用特别字符或通配符修改数据的数据攻击、设法得到命令串或规律语句的规律内容攻击，以及以账户、文件或主机为主要目标的目标攻击。2024年所消失的Web应用10大漏洞，应用防火墙均可以防备，未知攻击也无法越过应用防火墙。

业界标准的应用防火墙一般采纳主动平安技术实现对应用的爱护。主动平安技术是指建立正面规章集，也就是说明哪些行为和访问是合法的规章描述。对于接收到的应用数据(从网络协议还原出来的应用数据，不是数据报文头)，推断是否符合合法规章。由于