应用层防火墙已经成为那些对法规遵从感兴趣的人们谈论的热点话题。支付卡行业数据安全标准（PCI DSS）原来只推荐应用层防火墙作为最佳实践。该标准将要求公司要么安装这种防火墙，要么进行代码检查。

　　今天，虽然多数机构多少拥有一些边界防火墙，可以保护网络不受恶意的因特网信息流的攻击，但是这些种类的防火墙并不能保护企业，使其免于受到穿越应用程序的威胁。

　　据反恶意软件经销商Sophos plc和Symantec Corp.的报告称，最近，应用层防火墙已经出现，它是一种防御Web应用攻击的工具。Web应用程序攻击是一种最常见的入侵类型。传统的网络防火墙不能检测到应用攻击，原因是它们在合法应用程序的开放端口上才能起作用。虽然网络防火墙检查端口和packet headers，但是，它们并不能核查应用程序和应用程序数据，它们可以在通过开放防火墙端口时，不知不觉地隐藏恶意活动。由于大多数Web信息流通过端口80或者端口443，而关闭这些端口是不现实的。

　　PCI DSS也已经开始关注应用层防火墙。名声不太好的Section 6.6涵盖了Web应用程序安全，号召公司对其应用程序进行代码核查，或者使用应用层防火墙，来保护用于处理信用卡的代码。

　　不幸的是，PCI DSS Section 6.6将应用程序安全解释为一种非此即彼的命题，但是它远比这个要复杂得多。应用安全不仅仅是关于代码核查或者防火墙；在一些情况下，它可以意味着两者兼而有之。网络安全是关于关闭端口和关闭不必要的服务，应用程序安全与此不同，它是有关保护编码和设计的。

　　正如任何安全工具或者做法，应用层防火墙应当仅仅被看作是较大规模安全程序的一部分，并不是单一的防御Web应用攻击的一种方式。它应当是多层防御的一种。多层防御包括应用漏洞、渗透测试以及个软件开发生命周期中的安全漏洞的代码核查。

　　选择并配置应用层防火墙

　　在考虑应用层防火墙时，每个企业应该注意四个因素。我们来分别看一下这些因素，以及现在市场上的一些应用层防火墙。

　　首先，它真的是应用层防火墙吗？或者仅仅是一种深度信息包检测器？该区别很重要。为了与PCI一致，它必须是一个真正的应用层防火墙，而不是一个冒名顶替的工具。

　　一个真正的应用层防火墙可以检测应用程序的信息流，以防诸如SQL注入或者跨站脚本攻击（XSS）之类的恶意代码。当然，这就要求深度信息包检测，但是深度信息包检测仅仅查找信息流中诸如恶意软件和间谍软件之类的攻击，而无法检测到通过应用程序发送的恶意代码。

　　传统的网络防火墙仅仅可以检测packet headers，与之不同的是，深度信息包检测可以检测信息包内部及其内容。这虽然绝对可以增强防火墙的能力，但并不能算作一种防止攻击的防御，它仍然有一些局限性。

　　另一种常见的误解是将应用层防火墙与网络安全网关和内容过滤产品混为一谈。不要因为安装了一个应用层防火墙，就关闭你的Blue Coat、Vontu或者Vericept系统。这两种产品进行不同的工作。内容过滤产品可以阻止不合适的网站，或者基于Web的电子邮件，这些都可能包含恶意软件。但是同样地，它们不能捕获网络应用攻击，有时这仅仅是网站内容的一部分。虽然这两种产品都可以使用URL过滤，但是，应用层防火墙可以在URL中查找恶意代码：比如XSS攻击中使用的JavaScript；而内容过滤器仅仅在网络地址本身中查找。

　　尽管如此，网络安全网关、内容过滤产品和应用层防火墙已经慢慢地融合为统一的工具。该发展是自然而然的，因为许多威胁也已经结合起来并且现在需要多层防御。比如，虽然该内容过滤器可能会也可能不会阻止恶意站点，但是应用层防火墙会阻止它所携带的恶意代码。

　　在最低程度上，应用层防火墙应该防止注入攻击，比如SQL注入和XSS、会话劫持、扫描和检索、cookie纂改、以及路径遍历（path traversal）企图。应用层防火墙可以核查尖峰或者不规则信息流模式，进而阻止拒绝服务(DoS)攻击，也可以能够处理标准的HTTP和SSL信息流。

　　第二，应用层防火墙是否允许通过访问控制的精细保护？访问控制是流程稽核的一大部分。不仅仅是PCI，SOX和HIPAA都要求全部核查哪些人访问了企业的系统，以及他们都访问了什么。应用层防火墙可以扮演监测这个访问的角色。

　　在应用层防火墙中搜索的第二个特征是其与身份和访问管理系统的结合能力。这使得防火墙调整到允许员工访问特定的Web应用程序，但是不允许公司其他任何人访问。一些员工可能需要访问基于Web的电子邮件或WebEx，来进行其工作。如果防火墙与公司的诸如Active Directory或者LDAP之类的目录服务结合起来的话，这是可以调整的。访问应用程序可以添加到员工的配置里。

　　应用层防火墙本身，与其相对的网络防火墙一样，也应该有角色访问，仅允许授权的管理员访问，进行维护和更新。

　　应用层防火墙的第三个关键的问题是其与公司网络的兼容性。应用层防火墙是另一种可能会拖延网络的设备。如果没有合理配置的话，或者与公司的构架不兼容时，它会导致运行问题。它是否会拖延你的网络，减缓访问者登录你的网址；或者由于它在你的网络上是无形的，它是否就是透明的？

　　一般说来，应用层防火墙与网络防火墙同时运行，通常是在它们后面的网络内部。入局通信量首先通过网络防火墙，然后再通过应用层防火墙。在考虑完全安装一个产品之前，经常核查防火墙的吞吐量，并且在你的运行环境中对其进行彻底的负载测试。在配置产品之前，任何速度变慢、瓶颈、或者性能问题都应当解决。

　　最后，就像网络防火墙一样，应用层防火墙应当有能力将信息流记入日志。除了是一种安全最佳方式以外，追踪事件也时很必要的，在一些情况下，法规遵conh可能需要这个功能。记录日志是否有能力追踪事件并对不合适的访问出具报告？PCI在网络监测方面的要求是非常严格的。这是应用层防火墙功能的核心部分。

　　应用层防火墙的主要市场来自Barracuda、Palo Alto Networks、F5 Networks、Breach Security和Imperva。其它提供应用层防火墙的厂商还有Juniper、Fortify和SonicWall。

　　Barracuda Web Site Firewall宣称自己适用于Sections 6.5和PCI6.6。Section 6.5要求Web应用满足开放Web软件安全计划（OWASP）的编码导则。Barracuda Web Site Firewall代理所有网络信息流，防御通常熟知的Web攻击、会话劫持企图和来自所有在线形式的验证输入，以及最为常见的XSS攻击。

　　Palo Alto Networks PA-4000系列的产品宣称自己是一种以应用程序为中心的防火墙。它可以与策略编辑器协调使用，而策略协调器可以在特定的应用程序中添加一个基于漏洞的防火墙规则。Palo Alto Networks PA-4000系列产品还拥有App-IDTM，这是可以实时进行应用程序信息流分析的信息流分类技术。

　　应用层防火墙，与其它新的安全技术一样，正越来越流行，并被引入到现有的安全产品中。此外，随着应用程序安全越来越重要，它们也越来越受到人们的欢迎。但是应当仔细检查产品，确保正确使用，以保护您的公司免于受到应用攻击。