【TechTarget中国原创】应用防火墙是在TCP/IP堆栈的应用层工作的，解析流向或流出浏览器等应用程序的信息报。这就提供了比网络放火强更彻底的全面检查。网络防火墙只检查传输层及以下的包信息。但是为了更有效，应用防火墙必须和应用程序以及需要保护的网络环境完全契合。配置较差的防火墙可能阻止合法用户、客户和伙伴——或者给予黑客访问系统和数据的权利。在本文中，TechTarget的特约专家将讨论应用防火墙的类型以及如何调整使他们适应机构的环境。

　　硬件VS软件

　　应用防火墙有很多种，但是主要分为两类：硬件和软件。硬件防火运行在专一的应用程序上，通常有一个为防火墙的功能特别设计的坚固的操作系统。软件防火墙是在多用途的计算机上安装的，这种计算机为了网络边界等处的受信任的区域之间，或者在在个体防火墙的情况下，位于桌面计算机上。

　　特定目的的硬件应用程序通常性能更好，但是在安装和配置上更复杂。如果你选择软件防火墙解决方案，确保它是运行在你们的IT部门熟悉的平台上，这样就不需要另外的培训和支持问题了。软件解决方案通常比硬件解决方案更灵活，但是你需要确定运行防火墙的操作系统定期地打补丁和维护。

　　安装和规则设置

　　当安装防火墙的时候，大部门的IT安全资料都会告诉你开始的时候默认拒绝所有流量，然后只允许特别需要的流量——信息安全中的典型防火模式。但是，你应该知道这样的拒绝规则的影响和防火墙的变化。例如，当信息报和访问列表中的规则相符合时，这个信息包就会马上被拒绝规则放弃被允许规则放过。因为他不是对你在访问列中设置的其他规则相对的，它实质是你总是在一般的过滤器前放置的特别的过滤器。另外，通常的规则可能允许信息包的访问，但是可能白访问列表中的特别规则拒绝。

　　如果你预先建立了一套规则，把拒绝规则放在最后，就像可以从庚本山改变防火墙管理流量的方式的特别的附加规则，它就会有帮助了。把访问列表规则从“允许你需要的”改为“拒绝你不要的”的方法还可以使每条规则的目的的理由更充分。

　　你还应该为带外流量设置规则，确保带有你的网络资源地址的信息包可以离开网络。这种外出的过滤本质上是为了阻止间谍软件和僵尸网络和它们的来源联系。

　　白名单、黑名单和审计

　　白名单喝黑名单确定哪一个站点、IP地址、应用程序等可以相信，哪一个不可以。你可以使用一个或者另外一个，或者同时使用。白名单的方法更有限制性，对于对互联网访问有限制需求和稳定的应用要求的网络来说是理想的。但是，因为白名单通常比黑名单更加安全，它会造成安全的假象，因为恶意代码可以通过特洛伊木马和Zombie程序给黑客控制权，在几秒内就可以把受信任的计算机或者应用程序转变成不受信任的。黑名单的管理费用更高，因为它们需要定期的更新才能有效，它对于新的未知的威胁完全没有作用。

　　为了帮助保持白名单的更新，记录日志和审计通过你的应用防火墙的流量是必要的。日志对于检查防火墙是否有效的运行以及当问题或者攻击出现的时候的分析的价值是无限的。确保你有定期审计或者分析你的日志的能力。即使在较小的网络上，流量也会创建大大超过可以手动审计的日志文件，所以你需要全功能的日志分析器和时间来检查输出量。