【TechTarget中国原创】问:Web应用防火墙似乎对防御应用攻击很有效,但是我知道有些人犹豫是否安装。Web应用防火墙有什么缺点呢?
答:Web应用防火墙的主要缺点是成本和性能。性能通常都是问题,因为这些工具检查应用层的所有入站和出站流量。尽管如此,这种级别的检查通常被称为深度信息包检测,它检查信息包的实际有效负载,并提供比传统的包过滤防火墙更好的内容过滤功能。应用层放火强允许或者拒绝的决定可以基于每个包中的具体内容。他们可以允许或者拒绝某个应用程序或者应用程序的某个功能,提供深度的粒度控制(granular control)。这种防火墙也可以直接鉴别用户。这就是说,例如,他们可以允许或拒绝某个用户的特定引入命令。
深度包检测的数据也提供有价值的日志信息,这些信息有助于安全时间或者策略的实施。
当防火墙读取并解释每个包时,这个工具必须消耗CPU生命。检测的过程因此也比传统的包过滤防火墙要长,也会降低网络性能。
应用防火墙的另一个缺陷是每个协议,例如HTTP、SMTP等,都要求自己的代理应用程序,并支持新的网络应用程序,协议可以别限制或者降低出现的机会。虽然大部分的防火墙厂商提供一般代理,支持不确定的网络协议和应用程序,这次代理只是简单的允许流量通过防火墙,否决了很多首先采用应用防火墙的理由。
这些防火墙越来越复杂,也越昂贵,特别是和对网络性能影响极小的包过滤防火墙相比,并且包过滤防火墙是应用独立的。最后,和任何新设备一样,Web应用防火的安装、配置和培训都需要评定。
很容易理解为什么有些人在配置应用防火墙时犹豫,特别是如果考虑到了时间和预算限制。尽管如此,在敌对环境中运行Web应用,应用防火墙的附加保护就几乎成为强制的了。因此,我想要明确防火墙的需要是为什么,因为这将决定所需要的功能。在选择防火墙的时候,回答下面这些问题:
- 防火墙需要做什么?
- 什么样的附加服务有价值?
- 它们将如何适应现有网络?
- 他们如何影响现有的服务和用户?
理解不用类型的Web应用攻击的执行方式对训练很有帮助。如果你在防火墙上的经验不足,容易安装和配置就成为了选择防火墙是的重要因素。还有,要提到在安装时厂商可能提供的支持级别,以及在防火墙的配置周期。