应用层防火墙

dreamice

原帖由 ubuntuer 于 2009-12-16 21:12 发表
最近想了解下应用层防火墙,不知道现在实现应用层防火墙的主要技术是什么？  or 有没有开源的(linux c)实现的？   先谢谢大家了

说一下个人的看法吧，做了应用防火墙差不多一年了。
大家说的差不多还是传统的网络防火墙，来改造的针对应用防火墙的防御。
实际上应用防火墙要比传统的防火墙复杂得多。传统防火墙主要是针对单个包来进行检测的，另外早期的针对端口和IP进行防护就更初级了。
应用层防护的复杂主要体现在以下几个方面：
1、应用层的编码问题，就够传统防火墙喝一壶的了。先别说HTTPS类加密的传输数据包，就算是编码类型的（URL、UNICODE、UTF8等等），还有正则的匹配，就让内核的处理变得困难重重，性能也大打折扣；
2、应用层的攻击，如注入、XSS、泄漏等等，很大一部分并不是在一个IP包里的，往往分析的时候发现，单个IP包分析不是攻击，但把他们组合起来就是一个攻击了，这种实现，要在内核去组装IP包（不是IP分片包），目前似乎很难实现；

最近看到一个比较新起的牛B公司，提出了一种 stream-based scanning的思想，他把传统的IPS这种架构的检测定义为File-based Scanning，即将一个IP包抽象为一个File。
Stream-based Scanning，主要是体现了应用层的一个完整的流来检测。我不太清楚他这种实现机制，估计需要IC的推动吧。个人观点，应用安全要真的发展起来，必须靠IC的推动，否则，很难有起色。