应用层防火墙选择与配置的最佳方式

核心提示： 在最低程度上，应用层防火墙应该防止注入攻击，应用层防火墙选择与配置的最佳方式(3)，比如SQL注入和XSS、会话劫持、扫描和检索、cookie纂改、以及路径遍历（path traversal）企图，应用层防火墙可以核查尖峰或者不规则信息流模式，但是应当仔细检查产品，确保正确使用，进而阻止拒

在最低程度上，应用层防火墙应该防止注入攻击，比如SQL注入和XSS、会话劫持、扫描和检索、cookie纂改、以及路径遍历（path traversal）企图。应用层防火墙可以核查尖峰或者不规则信息流模式，进而阻止拒绝服务(DoS)攻击，也可以能够处理标准的HTTP和SSL信息流。

第二，应用层防火墙是否允许通过访问控制的精细保护？访问控制是流程稽核的一大部分。不仅仅是PCI，SOX和HIPAA都要求全部核查哪些人访问了企业的系统，以及他们都访问了什么。应用层防火墙可以扮演监测这个访问的角色。

在应用层防火墙中搜索的第二个特征是其与身份和访问管理系统的结合能力。这使得防火墙调整到允许员工访问特定的Web应用程序，但是不允许公司其他任何人访问。一些员工可能需要访问基于Web的电子邮件或WebEx，来进行其工作。如果防火墙与公司的诸如Active Directory或者LDAP之类的目录服务结合起来的话，这是可以调整的。访问应用程序可以添加到员工的配置里。

应用层防火墙本身，与其相对的网络防火墙一样，也应该有角色访问，仅允许授权的管理员访问，进行维护和更新。

应用层防火墙的第三个关键的问题是其与公司网络的兼容性。应用层防火墙是另一种可能会拖延网络的设备。如果没有合理配置的话，或者与公司的构架不兼容时，它会导致运行问题。它是否会拖延你的网络，减缓访问者登录你的网址；或者由于它在你的网络上是无形的，它是否就是透明的？

一般说来，应用层防火墙与网络防火墙同时运行，通常是在它们后面的网络内部。入局通信量首先通过网络防火墙，然后再通过应用层防火墙。在考虑完全安装一个产品之前，经常核查防火墙的吞吐量，并且在你的运行环境中对其进行彻底的负载测试。在配置产品之前，任何速度变慢、瓶颈、或者性能问题都应当解决。

最后，就像网络防火墙一样，应用层防火墙应当有能力将信息流记入日志。除了是一种安全最佳方式以外，追踪事件也时很必要的，在一些情况下，法规遵conh可能需要这个功能。记录日志是否有能力追踪事件并对不合适的访问出具报告？PCI在网络监测方面的要求是非常严格的。这是应用层防火墙功能的核心部分。

应用层防火墙的主要市场来自Barracuda、Palo Alto Networks、F5 Networks、Breach Security和Imperva。其它提供应用层防火墙的厂商还有Juniper、Fortify和SonicWall。

Barracuda Web Site Firewall宣称自己适用于Sections 6.5和PCI6.6。Section 6.5要求Web应用满足开放Web软件安全计划（OWASP）的编码导则。Barracuda Web Site Firewall代理所有网络信息流，防御通常熟知的Web攻击、会话劫持企图和来自所有在线形式的验证输入，以及最为常见的XSS攻击。

Palo Alto Networks PA-4000系列的产品宣称自己是一种以应用程序为中心的防火墙。它可以与策略编辑器协调使用，而策略协调器可以在特定的应用程序中添加一个基于漏洞的防火墙规则。Palo Alto Networks PA-4000系列产品还拥有App-IDTM，这是可以实时进行应用程序信息流分析的信息流分类技术。

应用层防火墙，与其它新的安全技术一样，正越来越流行，并被引入到现有的安全产品中。此外，随着应用程序安全越来越重要，它们也越来越受到人们的欢迎。但是应当仔细检查产品，确保正确使用，以保护您的公司免于受到应用攻击。