傳統(tǒng)防火墻用于解決網(wǎng)絡(luò)接入控制問(wèn)題��,可以阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)請(qǐng)求�,而應(yīng)用防火墻通過(guò)執(zhí)行應(yīng)用會(huì)話內(nèi)部的請(qǐng)求來(lái)處理應(yīng)用層。應(yīng)用防火墻專門保護(hù)Web應(yīng)用通信流和所有相關(guān)的應(yīng)用資源免受利用Web協(xié)議發(fā)動(dòng)的攻擊���。
應(yīng)用防火墻可以阻止將應(yīng)用行為用于惡意目的的瀏覽器和HTTP攻擊����。這些攻擊包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊���,設(shè)法得到命令串或邏輯語(yǔ)句的邏輯內(nèi)容攻擊�����,以及以賬戶��、文件或主機(jī)為主要目標(biāo)的目標(biāo)攻擊����。
實(shí)現(xiàn)應(yīng)用防火墻有兩種方式:執(zhí)行積極行為的積極安全模型和阻止已知攻擊的消極安全模型����。
積極安全模型通過(guò)在用戶與應(yīng)用互動(dòng)時(shí)學(xué)習(xí)應(yīng)用邏輯,然后再建立有效的已知請(qǐng)求的安全政策來(lái)執(zhí)行積極行為��,其實(shí)現(xiàn)方法如下�。
1. 最初的策略包含有效地啟動(dòng)網(wǎng)頁(yè)的清單。在創(chuàng)建會(huì)話政策之前��,用戶的最初請(qǐng)求必須與這些啟動(dòng)網(wǎng)頁(yè)相匹配��。
2. 應(yīng)用防火墻分析下載的網(wǎng)頁(yè)請(qǐng)求��,包括網(wǎng)頁(yè)鏈接��、下拉菜單和表格域���,并制定在用戶會(huì)話期間可以發(fā)出的所有可允許的請(qǐng)求的政策��。
3. 在用戶請(qǐng)求傳送給服務(wù)器之前���,驗(yàn)證請(qǐng)求是否有效���。政策不承認(rèn)的請(qǐng)求被作為無(wú)效請(qǐng)求予以阻止。
4. 當(dāng)用戶會(huì)話結(jié)束時(shí)�����,這個(gè)會(huì)話政策被銷毀���。一次新會(huì)話�,就創(chuàng)建一個(gè)新政策��。
消極安全模型依靠一個(gè)保存可能出現(xiàn)攻擊的特征的數(shù)據(jù)庫(kù)阻止識(shí)別出的攻擊���,實(shí)現(xiàn)方法如下����。
1. 利用已知的攻擊特征集合制定政策����。
2. 不采用下行網(wǎng)頁(yè)分析來(lái)更新政策。
3. 識(shí)別出的攻擊予以阻止�,而未知請(qǐng)求(好的或壞的)都被認(rèn)為是有效的并傳送給服務(wù)器進(jìn)行處理����。
4. 所有的用戶都共享同樣的靜態(tài)政策�。
應(yīng)用防火墻安裝在防火墻與應(yīng)用服務(wù)器之間,在ISO模型的第七層上運(yùn)行���。所有的會(huì)話信息��,包括上行和下行的會(huì)話信息,都要流經(jīng)應(yīng)用防火墻���。下行請(qǐng)求經(jīng)過(guò)應(yīng)用防火墻��,并且在積極模型的情況下����,進(jìn)行政策的解析處理�����。這就要求應(yīng)用防火墻安裝在緩存服務(wù)器的前端����,以保證請(qǐng)求的有效性�。上行請(qǐng)求經(jīng)過(guò)只允許有效請(qǐng)求通過(guò)的應(yīng)用防火墻����,因此避免了有害請(qǐng)求進(jìn)入服務(wù)器。
應(yīng)用防火墻知道輸入和輸出的會(huì)話請(qǐng)求��,提供與已有應(yīng)用的聯(lián)機(jī)集成���,并與Web應(yīng)用技術(shù)相兼容���。應(yīng)用防火墻在威脅達(dá)到應(yīng)用之前實(shí)時(shí)處理這些威脅。應(yīng)用防火墻監(jiān)聽80和443 TCP端口�,并從客戶機(jī)接收輸入的HTTP/Secure HTTP請(qǐng)求,然后解析這些請(qǐng)求���,將這些請(qǐng)求與會(huì)話建立關(guān)系或者創(chuàng)建一次會(huì)話�,然后將請(qǐng)求與會(huì)話的政策相匹配����。如果這個(gè)請(qǐng)求得到承認(rèn)(即對(duì)應(yīng)的鏈接得到承認(rèn)),它就被轉(zhuǎn)發(fā)給Web服務(wù)器�。如果不被承認(rèn),請(qǐng)求就被拒絕�����。Web服務(wù)器的應(yīng)答到達(dá)應(yīng)用防火墻之后,會(huì)與請(qǐng)求所屬的同一個(gè)會(huì)話建立關(guān)系��,進(jìn)行解析�����,與此同時(shí)政策更新(承認(rèn)的新鏈接)也被提取出來(lái)與會(huì)話建立關(guān)系�����。
如果這是對(duì)第一個(gè)請(qǐng)求的應(yīng)答�,一個(gè)加密會(huì)話Cookie還被附著在這個(gè)應(yīng)答中��,用于識(shí)別與客戶機(jī)以后的通信會(huì)話���。應(yīng)用防火墻最后將這個(gè)應(yīng)答轉(zhuǎn)發(fā)給客戶機(jī)�。
相關(guān)推薦:
計(jì)算機(jī)軟考網(wǎng)絡(luò)工程師必備英語(yǔ)詞匯全集
計(jì)算機(jī)軟件水平考試網(wǎng)工歷年真題匯總
軟件水平考試網(wǎng)絡(luò)工程師學(xué)習(xí)筆記匯總(完整版)
2010年軟件水平考試網(wǎng)絡(luò)工程師模擬試題匯總
