你已經(jīng)決心下大力氣搞好應用安全嗎？畢竟，例如金融交易、信用卡號碼、機密資料、用戶檔案等信息，對于企業(yè)來說太重要了。不過這些應用實在太龐大、太復雜了，最困難的就是，這些應用在通過網(wǎng)絡防火墻上的端口80（

你已經(jīng)決心下大力氣搞好應用安全嗎？畢竟，例如金融交易、信用卡號碼、機密資料、用戶檔案等信息，對于企業(yè)來說太重要了。不過這些應用實在太龐大、太復雜了，最困難的就是，這些應用在通過網(wǎng)絡防火墻上的端口80（主要用于HTTP）和端口443（用于SSL）長驅(qū)直入的攻擊面前暴露無遺。這時防火墻可以派上用場，應用防火墻發(fā)現(xiàn)及封阻應用攻擊所采用的八項技術如下：

深度數(shù)據(jù)包處理

深度數(shù)據(jù)包處理有時被稱為深度數(shù)據(jù)包檢測或者語義檢測，它就是把多個數(shù)據(jù)包關聯(lián)到一個數(shù)據(jù)流當中，在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應用流量，以避免給應用帶來時延。下面每一種技術代表深度數(shù)據(jù)包處理的不同級別。

TCP/IP終止

應用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及多種請求，即不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應用保持互動的整個會話期間，能夠檢測數(shù)據(jù)包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協(xié)議，并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。

SSL終止

如今，幾乎所有的安全應用都使用HTTPS確保通信的保密性。然而，SSL數(shù)據(jù)流采用了端到端加密，因而對被動探測器如入侵檢測系統(tǒng)（IDS）產(chǎn)品來說是不透明的。為了阻止惡意流量，應用防火墻必須終止SSL，對數(shù)據(jù)流進行解碼，以便檢查明文格式的流量。這是保護應用流量的最起碼要求。

URL過濾

一旦應用流量呈明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，譬如可疑的統(tǒng)一代碼編碼（unicode encoding）。對URL過濾采用基于特征的方案，僅僅尋找匹配定期更新的特征、過濾掉與已知攻擊如紅色代碼和尼姆達有關的URL，這是遠遠不夠的。

請求分析

全面的請求分析技術比單單采用URL過濾來得有效，可以防止Web服務器層的跨站腳本執(zhí)行（cross-site scripting）漏洞和其它漏洞。全面的請求分析使URL過濾更進了一步：可以確保請求符合要求、遵守標準的HTTP規(guī)范，同時確保單個的請求部分在合理的大小限制范圍之內(nèi)。

用戶會話跟蹤

更先進的下一個技術就是用戶會話跟蹤。這是應用流量狀態(tài)檢測技術的最基本部分：跟蹤用戶會話，把單個用戶的行為關聯(lián)起來。這項功能通常借助于通過URL重寫（URL rewriting）來使用會話信息塊加以實現(xiàn)。只要跟蹤單個用戶的請求，就能夠?qū)π畔K實行極其嚴格的檢查。

響應模式匹配

響應模式匹配為應用提供了更全面的保護：它不僅檢查提交至Web服務器的請求，還檢查Web服務器生成的響應。它能極其有效地防止網(wǎng)站受毀損，或者更確切地說，防止已毀損網(wǎng)站被瀏覽。對響應里面的模式進行匹配相當于在請求端對URL進行過濾。響應模式匹配分三個級別。防毀損工作由應用防火墻來進行，它對站點上的靜態(tài)內(nèi)容進行數(shù)字簽名。

通過以上技術，應用防火墻能夠有效地識別和封阻各種應用攻擊，為企業(yè)的信息安全提供強有力的保障。在不斷演變的網(wǎng)絡環(huán)境中，持續(xù)更新和優(yōu)化這些防御技術，將成為企業(yè)保護關鍵數(shù)據(jù)和業(yè)務穩(wěn)健運作的重要手段。