应用防火墙：一点一点地砌

核心提示：没有应用防火墙的预算？那么使用开源组件来构建你自己的应用防火墙吧， HTTP正迅速成为任何以及所有商业逻辑的默认传输，应用防火墙：一点一点地砌，随着网络服务和面向服务架构的出现，XML已经成为一个粘合体，由于性能会因你的组织所使用的应用程序类型的不同而异，所以在任何生产制造之前，它将完全不同的应用程序和数据类型结合到一

没有应用防火墙的预算？那么使用开源组件来构建你自己的应用防火墙吧。

HTTP正迅速成为任何以及所有商业逻辑的默认传输。随着网络服务和面向服务架构的出现，XML已经成为一个粘合体，它将完全不同的应用程序和数据类型结合到一起。网络入口、内容管理系统、以及甚至企业博客和wikis正成为首选的通信1渠道。

但是，保护网络应用程序是一场艰难的战斗。虽然，传统的网络安全防御已经集中于OSI（开放式系统互联）的前四层，但是，根据定义，大多数网络应用程序开发是通过代理器和防火墙的有效HTTP信息流。

该怎么办呢？你当然可以购买一个商业网络应用防火墙产品，但是，也许你不能（或者不会）在预算中添加另一个年许可更新。另一个选择就是使用免费的开源工具，解析、重写并过滤HTTP信息流，以预防应用层攻击，进而构建一个网络应用防火墙。你不会获得商业解决方案的所有功能。但是，你将在因特网所面临的网络服务和应用程序前面，添加一个亟需的保护层。

坚实的基础

网络应用防火墙将完美地处在因特网所面对的防火墙之后，充当着所有网络信息流的唯一出入路径。使用强化的Unix或者Linux平台，比如OpenBSD有堆栈保护、最小安装和积极的源代码审计。Bastille也是一个出色的强化工具，可用于大多数Linux的相关产品。

由于防火墙会解析所有的网络信息流，负载会大大高于典型的代理器。你需要尽可能大的CPU，此外还有大量的RAM。你可以构建一些备用的网关，并在多个安全网关前端使用HTTP负载均衡器。

然而，得出这样一个解决方案是复杂的。作为网络IDS或者IPS配置，你配置中的规则数量、进入站点的信息量、以及重新编写和解析操作的复杂度都会影响到性能。

此外，良好的凭经验的方法可以保证您的网络应用防火墙与您最繁忙的网络服务器一样大。由于性能会因你的组织所使用的应用程序类型的不同而异，所以在任何生产制造之前，准备好调试、测试以及基准。