你已經(jīng)決心下大力氣搞好應(yīng)用安全嗎？畢竟，例如金融交易、信用卡號(hào)碼、機(jī)密資料、用戶檔案等信息，對(duì)于企業(yè)來(lái)說(shuō)太重要了。不過(guò)這些應(yīng)用實(shí)在太龐大、太復(fù)雜了，最困難的就是，這些應(yīng)用在通過(guò)網(wǎng)絡(luò)防火墻上的端口80（

你已經(jīng)決心下大力氣搞好應(yīng)用安全嗎？畢竟，例如金融交易、信用卡號(hào)碼、機(jī)密資料、用戶檔案等信息，對(duì)于企業(yè)來(lái)說(shuō)太重要了。不過(guò)這些應(yīng)用實(shí)在太龐大、太復(fù)雜了，最困難的就是，這些應(yīng)用在通過(guò)網(wǎng)絡(luò)防火墻上的端口80（主要用于HTTP）和端口443（用于SSL）長(zhǎng)驅(qū)直入的攻擊面前暴露無(wú)遺。這時(shí)防火墻可以派上用場(chǎng)，應(yīng)用防火墻發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的八項(xiàng)技術(shù)如下：

深度數(shù)據(jù)包處理

深度數(shù)據(jù)包處理有時(shí)被稱為深度數(shù)據(jù)包檢測(cè)或者語(yǔ)義檢測(cè)，它就是把多個(gè)數(shù)據(jù)包關(guān)聯(lián)到一個(gè)數(shù)據(jù)流當(dāng)中，在尋找攻擊異常行為的同時(shí)，保持整個(gè)數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測(cè)及重新組裝應(yīng)用流量，以避免給應(yīng)用帶來(lái)時(shí)延。下面每一種技術(shù)代表深度數(shù)據(jù)包處理的不同級(jí)別。

TCP/IP終止

應(yīng)用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及多種請(qǐng)求，即不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應(yīng)用保持互動(dòng)的整個(gè)會(huì)話期間，能夠檢測(cè)數(shù)據(jù)包和請(qǐng)求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協(xié)議，并且在整個(gè)數(shù)據(jù)流而不是僅僅在單個(gè)數(shù)據(jù)包中尋找惡意模式。

SSL終止

如今，幾乎所有的安全應(yīng)用都使用HTTPS確保通信的保密性。然而，SSL數(shù)據(jù)流采用了端到端加密，因而對(duì)被動(dòng)探測(cè)器如入侵檢測(cè)系統(tǒng)（IDS）產(chǎn)品來(lái)說(shuō)是不透明的。為了阻止惡意流量，應(yīng)用防火墻必須終止SSL，對(duì)數(shù)據(jù)流進(jìn)行解碼，以便檢查明文格式的流量。這是保護(hù)應(yīng)用流量的最起碼要求。

URL過(guò)濾

一旦應(yīng)用流量呈明文格式，就必須檢測(cè)HTTP請(qǐng)求的URL部分，尋找惡意攻擊的跡象，譬如可疑的統(tǒng)一代碼編碼（unicode encoding）。對(duì)URL過(guò)濾采用基于特征的方案，僅僅尋找匹配定期更新的特征、過(guò)濾掉與已知攻擊如紅色代碼和尼姆達(dá)有關(guān)的URL，這是遠(yuǎn)遠(yuǎn)不夠的。

請(qǐng)求分析

全面的請(qǐng)求分析技術(shù)比單單采用URL過(guò)濾來(lái)得有效，可以防止Web服務(wù)器層的跨站腳本執(zhí)行（cross-site scripting）漏洞和其它漏洞。全面的請(qǐng)求分析使URL過(guò)濾更進(jìn)了一步：可以確保請(qǐng)求符合要求、遵守標(biāo)準(zhǔn)的HTTP規(guī)范，同時(shí)確保單個(gè)的請(qǐng)求部分在合理的大小限制范圍之內(nèi)。

用戶會(huì)話跟蹤

更先進(jìn)的下一個(gè)技術(shù)就是用戶會(huì)話跟蹤。這是應(yīng)用流量狀態(tài)檢測(cè)技術(shù)的最基本部分：跟蹤用戶會(huì)話，把單個(gè)用戶的行為關(guān)聯(lián)起來(lái)。這項(xiàng)功能通常借助于通過(guò)URL重寫（URL rewriting）來(lái)使用會(huì)話信息塊加以實(shí)現(xiàn)。只要跟蹤單個(gè)用戶的請(qǐng)求，就能夠?qū)π畔K實(shí)行極其嚴(yán)格的檢查。

響應(yīng)模式匹配

響應(yīng)模式匹配為應(yīng)用提供了更全面的保護(hù)：它不僅檢查提交至Web服務(wù)器的請(qǐng)求，還檢查Web服務(wù)器生成的響應(yīng)。它能極其有效地防止網(wǎng)站受毀損，或者更確切地說(shuō)，防止已毀損網(wǎng)站被瀏覽。對(duì)響應(yīng)里面的模式進(jìn)行匹配相當(dāng)于在請(qǐng)求端對(duì)URL進(jìn)行過(guò)濾。響應(yīng)模式匹配分三個(gè)級(jí)別。防毀損工作由應(yīng)用防火墻來(lái)進(jìn)行，它對(duì)站點(diǎn)上的靜態(tài)內(nèi)容進(jìn)行數(shù)字簽名。

通過(guò)以上技術(shù)，應(yīng)用防火墻能夠有效地識(shí)別和封阻各種應(yīng)用攻擊，為企業(yè)的信息安全提供強(qiáng)有力的保障。在不斷演變的網(wǎng)絡(luò)環(huán)境中，持續(xù)更新和優(yōu)化這些防御技術(shù)，將成為企業(yè)保護(hù)關(guān)鍵數(shù)據(jù)和業(yè)務(wù)穩(wěn)健運(yùn)作的重要手段。