什么是應(yīng)用層防火墻?應(yīng)用層防火墻是在 TCP/IP 堆棧的"應(yīng)用層"上運作，您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進出某應(yīng)用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。網(wǎng)絡(luò)安全防范措施與應(yīng)用是什么?一起和佰佰安全網(wǎng)看看吧。

OSI是一個網(wǎng)絡(luò)架構(gòu)的分層模型。它描述和規(guī)定了兩個互聯(lián)的系統(tǒng)如何通信。其中，頂層在典型情況下即為"基于代理服務(wù)器的防火墻"所工作的層次。應(yīng)用層防火墻是第三代防火墻，,這種防火墻可以向下掃描其下的各層。在與會話層防火墻或電路層防火墻比較時，這種應(yīng)用層防火墻可以集成會話層防火墻的特性和反向代理服務(wù)器等其它高級特性，從而實現(xiàn)更安全的網(wǎng)站訪問。

當(dāng)今的攻擊已經(jīng)發(fā)展得相當(dāng)高級，多數(shù)會話層防火墻甚至并不能阻止多數(shù)基本的應(yīng)用型攻擊。因此，我們需要向第五層防火墻道別或者用更加安全的"應(yīng)用層防火墻" 來替換之。

應(yīng)用層防火墻已經(jīng)成為那些對法規(guī)遵從感興趣的人們談?wù)摰臒狳c話題。支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)原來只推薦應(yīng)用層防火墻作為最佳方式。該標準將要求公司要么安裝這種防火墻，要么進行代碼檢查。

今天，雖然多數(shù)機構(gòu)多少擁有一些邊界防火墻，可以保護網(wǎng)絡(luò)不受惡意的因特網(wǎng)信息流的攻擊，但是這些種類的防火墻并不能保護用戶，使其免于受到穿越應(yīng)用程序的威脅。

據(jù)反惡意軟件經(jīng)銷商Sophos plc和Symantec Corp.的報告稱，最近，應(yīng)用層防火墻已經(jīng)出現(xiàn)，它是一種防御Web應(yīng)用攻擊的工具。Web應(yīng)用程序攻擊是一種最常見的入侵類型。傳統(tǒng)的網(wǎng)絡(luò)防火墻不能檢測到應(yīng)用攻擊，原因是它們在合法應(yīng)用程序的開放端口上才能起作用。雖然網(wǎng)絡(luò)防火墻檢查端口和packet headers，但是，它們并不能核查應(yīng)用程序和應(yīng)用程序數(shù)據(jù)，它們可以在通過開放防火墻端口時，不知不覺地隱藏惡意活動。由于大多數(shù)Web信息流通過端口80或者端口443，而關(guān)閉這些端口是不現(xiàn)實的。

PCI DSS也已經(jīng)開始關(guān)注應(yīng)用層防火墻。名聲不太好的Section 6.6涵蓋了Web應(yīng)用程序安全，號召公司對其應(yīng)用程序進行代碼核查，或者使用應(yīng)用層防火墻，來保護用于處理信用卡的代碼。

不幸的是，PCI DSS Section 6.6將應(yīng)用程序安全解釋為一種非此即彼的命題，但是它遠比這個要復(fù)雜得多。應(yīng)用安全不僅僅是關(guān)于代碼核查或者防火墻;在一些情況下，它可以意味著兩者兼而有之。網(wǎng)絡(luò)安全是關(guān)于關(guān)閉端口和關(guān)閉不必要的服務(wù)，應(yīng)用程序安全與此不同，它是有關(guān)保護編碼和設(shè)計的。

以上是小編解釋的應(yīng)用層防火墻，其中保護網(wǎng)絡(luò)安全的瑞星殺毒軟件很有效果，想學(xué)習(xí)更多的網(wǎng)絡(luò)安全小知識請關(guān)注佰佰安全網(wǎng)。

責(zé)任編輯:慕丹萍