联合挑战第十期：应用防火墙PK传统防火墙

surpass_li

Web应用防火墙就是一些增强 Web应用安全性的工具。
然而，如果我们要深究它精确的定义，就可能会得到更多的疑问。
因为一些Web应用防火墙是硬件设备，一些则是应用软件;一些是基于网络的，另一些则是嵌入WEB服务器的。
Web应用防火墙的具有以下四个方面的功能：

1. 审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话。

2. 访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。

3. 架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。

4. WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。
由于WEB应用防火墙的多面性，拥有不同知识背景的人往往会关注它不同方面的特点。比如具有网络入侵检测背景的人更倾向于把它看作是运行在HTTP 层上的 IDS设备;具有防火墙自身背景的人更趋向与把它看作一种防火墙的功能模块。还有一种理解来自于“深度检测防火墙”这个术语。他们认为深度检测防火墙是一种和Web应用防火墙功能相当的设备。然而，尽管两种设备有些相似之处，但是差异还是很大的。深度检测防火墙通常工作在的网络的第三层以及更高的层次，而 Web应用防火墙则在第七层处理HTTP服务并且很好地支持它。

直接更改WEB代码解决安全问题是否更好?这是毋庸置疑的，但也没那么容易(实现)。

因为，通过更改WEB应用代码是否一定就能增强系统安全性能，这本身就存在争论。而且现实也更加复杂：

* 不可能确保100%的安全。人的能力有限，会不可避免地犯错误。

* 绝大多数情况下，很少有人力求100%的安全。如今的现实生活中那些引领应用发展的人更多注重功能而不是安全。这种观念正在改变，只是有点缓慢。

* 一个复杂的系统通常包含第三方产品(组件，函数库)，它们的安全性能是不为人知的。如果这个产品的源代码是保密的，那么你必须依赖商品的厂商提供补丁。即使有些情况下源代码是公开的，你也不可能有精力去修正它们。

* 我们不得不使用存在安全隐患的业务系统，尽管这些旧系统根本无法改进。

因此，为了获得最好的效果，我们需要双管齐下：一方面，必须提高管理者和开发者的安全意识；另一方面，尽可能提高应用系统的安全性。

surpass2010

回复 69# renxiao2003


      是搬家，晕

doni

支持一下，应用防火墙希望可以通过这次活动被理解得更透彻些。现在在人们的意识里，应用防火墙并没有从传统 ...
衍水狂客的师傅 发表于 2010-10-14 17:37

应用防火墙，我以为：就是支持7层的iptables(或其他什么)，当然也可以固化到盒子中
所以应用防火墙从本质上来讲比传统防火墙来说，能做到不少不一样的事情，而最基本的原理是一致的
当然，在7层上的行为分析这方面可能是一个重要的技术问题，但我不认为应用防火墙具有什么突破性的意义

skylove

个人觉得应用防火墙是和业务本身密切关联的。。。

以内网有一个http server，走tcp 80 的web为例
传统的防火墙，大多在二层和三层上完成：
可以做到阻止用户访问非80端口；
可以做到阻止非授权（指定ip段）用户访问80端口；
可以做到不允许防火墙主动发起请求；
可以做到对授权访问80端口的用户进行三次握手检查，拒绝一些异构的利用三次握手漏洞的发起请求。。。

这些，传统防火墙没问题，接下来就是应用防火墙了，这些大多在七层上完成：
可以做到让用户授权访问指定的url；
可以做到让用户提交的url不允许传递包含某些关键字的参数；
可以做到让用户提交的url不允许超过某个长度；
可以做到让用户不允许下载某些后缀名的文件；
可以做到当发现用户有以上疑似攻击行为后自动在三层处断开用户链接

以上挂一漏万，但总体上来说，传统防火墙是在二层和三层上面进行防御，而应用防火墙是在7层位置针对提供服务的一些薄弱环节和代码漏洞进行防御。所以可以简单地认为，应用防火墙是比传统防火墙更为高级的防火墙，功能更加强大，和业务结合紧密。但缺点同样也是明显的——效率和联动。

传统的防火墙效率相对较高，开销较小，而且不需要和网站编程维护人员有太多的联动；而应用级防火墙有许多细微的设置需要根据应用程序本身进行量身定做，一定程度上网站编程人员和网站维护人员需要通力和网络管理人员配合才能共同实施找到“正确的恰好方向，不正确的恰好阻挡”这一安全临界点。。。但在实际的情形下，这三者常常无法有效的协调和统一，为实施应用防火墙的一些高级策略造成困境。。。

flyinweb_cu

看到很多有关WAF的优势的资料，很少有看到其劣势的一面，不知应用防火墙在实际应用过程中会否有一些负面的影响？另外就是，应用防火墙能否全面替代传统的防火墙还是说两者是需要并存，只是应付的威胁不同？

rickyfang

其实现在应用防火墙最关键的问题是性能上不去,因为要检测所有封包,必然导致性能瓶颈,并且服务应用千变万化, ...
juncker 发表于 2010-10-16 00:37

    安全和性能在应用防火墙方面来说，现在已不是一种矛盾了。但安全功能模板也强，更新越及时，对性能的耗用就越深。就看厂商如何应用啦。
   设计出安全模板及性能模板和谐相处的应用防火墙来。社会价值和企业价值才更整合实现。

rickyfang

回复 89# flyinweb_cu


    个人以为，应用防火墙和传统防火墙还需要较长一段同居的日子。这个日子有多长，估计要看企业安全的需要以及成本投入，甚或企业高层的理念如何了。

bbjmmj

目前我们公司购买了一个硬件防火墙，但是公司的需要我们对URL进行过滤，需要屏蔽QQ 等聊天工具。最后不得不 软硬结合。
为什么删我号 发表于 2010-10-15 04:26

    我封QQ已经封了5年了，用一台LINUX服务器，开始的时候用SQUID，后来图省事直接就用IPTABLES了。
    感觉硬件防火墙挺垃圾的。

bbjmmj

UTM网关，我用了四年，不过没见过商业的。

拿钱发帖死全家

最好是两者结合，以应用防火墙为主，传统防火墙为辅