网站大量收购闲置独家精品文档,联系QQ:2885784924

如何选择应用防火墙.pdf

  1. 1、本文档共19页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
如何选择应用防火墙 如何选择应用防火墙 那些急于达到PCI 安全标准的企业在选择Web 应用防火墙(WAF)时往往无所适从。怎 样才知道该选择什么产品?如何才能有效地部署和管理这些工具和软件?如何把它们与现 有的基础架构有机组合起来?下面我们将列出在评估产品时帮助你遵从法规的需要着重考 虑的几点。Web 应用防火墙(Web application firewall)或应用层防火墙是一种旨在保 护Web 应用程序免受攻击和数据泄露危害的装置或软件。 应用防火墙的优缺点 应用防火墙或代理确实有优于包过滤型和全状态包检测型(stateful packet inspection)防火墙的地方。虽然这些类型的防火墙可以防止各种网络层的攻击,但它们 却无法阻挡利用大多数Web 应用程序漏洞进行的攻击。利用这些严重的漏洞,黑客们操纵 URL 地址就可以直接攻击目标网站。不过,这些防火墙可以通过允许或拒绝特定的应用程 序或者应用的特定功能,实现很多精细化的控制  应用层防火墙的优点和缺点 应用防火墙选择 不管提出什么样的新法规或者安全要求,法规遵从负责人员往往会急于作决定。许多 系统管理员作决定的依据是一个厂商的广告词或者是正好需要的特殊要求欧或功能。结果 很可能会发现买的并不是最适合的产品,或是无法实现最佳的安全性。在选择Web 应用防 火墙等安全设备时,你首先应该给出下面这些问题的答案。  如何选择合适的应用防火墙(一)之准备工作 TT 安全技术专题之如何选择应用防火墙 Page 2 of 19  如何选择合适的应用防火墙(二)之功能  如何选择合适的应用防火墙(三)之软件还是硬件  如何选择合适的应用防火墙(四)之部署  如何选择合适的应用防火墙(五)之管理 应用防火墙的选购标准 问:我们公司想要购买新的防火墙,我们已经选择了三个厂商。我们在评估可选的防火墙 时应该才采用什么标准?有选择合适的企业防火墙产品的最佳实践吗?答:第一点,也是 最重要的一点,考虑防火墙的功能。  购买企业防火墙的评估标准 应用防火墙的选择与配置最佳实践 应用层防火墙已经成为那些对法规遵从感兴趣的人们谈论的热点话题。支付卡行业数 据安全标准(PCI DSS)原来只推荐应用层防火墙作为最佳实践。该标准将要求公司要么 安装这种防火墙,要么进行代码检查。在考虑应用层防火墙时,每个企业应该注意四个因 素。我们来分别看一下这些因素,以及现在市场上的一些应用层防火墙。  应用层防火墙选择与配置的最佳实践 TT 安全技术专题之如何选择应用防火墙 Page 3 of 19 应用层防火墙的优点和缺点 问:为什么采用主动模型的应用层(第7 层)防火墙不是系统设定的选项呢? 答:应用防火墙或代理确实有优于包过滤型和全状态包检测型(stateful packet inspection)防火墙的地方。虽然这些类型的防火墙可以防止各种网络层的攻击,但它们 却无法阻挡利用大多数Web 应用程序漏洞进行的攻击。利用这些严重的漏洞,黑客们操纵 URL 地址就可以直接攻击目标网站。不过,这些防火墙可以通过允许或拒绝特定的应用程 序或者应用的特定功能,实现很多精细化的控制。应用防火墙还可以直接验证用户身份, 这意味着它允许或拒绝特定用户发出的远程登录命令,而其他防火墙只能控制特定主机的 传入请求。 应用层防火墙可以检测数据包的有效荷载根据这些实际内容作出相应决定,还能提供 更好的内容过滤能力。它们还可以审查完整的网络数据包,而不仅仅是网络地址和端口, 这就使得它们有更强大的日志记录功能,例如可以记录某个特定程序发出的命令这样的日 志事件,这对于处理突发安全事件和实施安全策略提供了很有价值的信息。 既然应用层防火墙有这么多明显的安全优点,为什么它却不是默认选项呢?其主要原 因在于成本和性能。如果所有进站和出站的网络流量都需要在应用层上进行检测,那么数 据在检测前就必须首先通过OSI 的七层,而包过滤型和全状态包检测型防火墙在只网络层 对流量进行检测。由于防火墙对数据包进行读取和解析必然消耗CPU 周期,尤其是解析过 程特别耗费CPU 资源,所以很有可能形成网络性能的障碍。这也意味着应用层防火墙更容 易受到分布式拒绝服务攻击,因

文档评论(0)

max + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档