OSI是一个网络架构的分层模型。它描述和规定了两个互联的系统如何通信。其中,顶层在典型情况下即为“基于代理服务器的防火墙”所工作的层次。应用层防火墙是第三代防火墙,,这种防火墙可以向下扫描其下的各层。在与会话层防火墙或电路层防火墙比较时,这种应用层防火墙可以集成会话层防火墙的特性和反向代理服务器等其它高级特性,从而实现更安全的网站访问。
当今的攻击已经发展得相当高级,多数会话层防火墙甚至并不能阻止多数基本的应用型攻击。因此,我们需要向第五层防火墙道别或者用更加安全的“应用层防火墙” 来替换之。
应用层防火墙已经成为那些对法规遵从感兴趣的人们谈论的热点话题。支付卡行业数据安全标准(PCI DSS)原来只推荐应用层防火墙作为最佳方式。该标准将要求公司要么安装这种防火墙,要么进行代码检查。
今天,虽然多数机构多少拥有一些边界防火墙,可以保护网络不受恶意的因特网信息流的攻击,但是这些种类的防火墙并不能保护用户,使其免于受到穿越应用程序的威胁。
据反恶意软件经销商Sophos plc和Symantec Corp.的报告称,最近,应用层防火墙已经出现,它是一种防御Web应用攻击的工具。Web应用程序攻击是一种最常见的入侵类型。传统的网络防火墙不能检测到应用攻击,原因是它们在合法应用程序的开放端口上才能起作用。虽然网络防火墙检查端口和packet headers,但是,它们并不能核查应用程序和应用程序数据,它们可以在通过开放防火墙端口时,不知不觉地隐藏恶意活动。由于大多数Web信息流通过端口80或者端口443,而关闭这些端口是不现实的。
PCI DSS也已经开始关注应用层防火墙。名声不太好的Section 6.6涵盖了Web应用程序安全,号召公司对其应用程序进行代码核查,或者使用应用层防火墙,来保护用于处理信用卡的代码。
不幸的是,PCI DSS Section 6.6将应用程序安全解释为一种非此即彼的命题,但是它远比这个要复杂得多。应用安全不仅仅是关于代码核查或者防火墙;在一些情况下,它可以意味着两者兼而有之。网络安全是关于关闭端口和关闭不必要的服务,应用程序安全与此不同,它是有关保护编码和设计的。
正如任何安全工具或者做法,应用层防火墙应当仅仅被看作是较大规模安全程序的一部分,并不是单一的防御Web应用攻击的一种方式。它应当是多层防御的一种。多层防御包括应用漏洞、渗透测试以及个软件开发生命周期中的安全漏洞的代码核查。
