在考虑应用层防火墙时,每个用户应该注意四个因素。我们来分别看一下这些因素,以及现在市场上的一些应用层防火墙。
首先,它真的是应用层防火墙吗?或者仅仅是一种深度信息包检测器?该区别很重要。为了与PCI一致,它必须是一个真正的应用层防火墙,而不是一个冒名顶替的工具。
一个真正的应用层防火墙可以检测应用程序的信息流,以防诸如SQL注入或者跨站脚本攻击(XSS)之类的恶意代码。当然,这就要求深度信息包检测,但是深度信息包检测仅仅查找信息流中诸如恶意软件和间谍软件之类的攻击,而无法检测到通过应用程序发送的恶意代码。
传统的网络防火墙仅仅可以检测packet headers,与之不同的是,深度信息包检测可以检测信息包内部及其内容。这虽然绝对可以增强防火墙的能力,但并不能算作一种防止攻击的防御,它仍然有一些局限性。
另一种常见的误解是将应用层防火墙与网络安全网关和内容过滤产品混为一谈。不要因为安装了一个应用层防火墙,就关闭你的Blue Coat、Vontu或者Vericept系统。这两种产品进行不同的工作。内容过滤产品可以阻止不合适的网站,或者基于Web的电子邮件,这些都可能包含恶意软件。但是同样地,它们不能捕获网络应用攻击,有时这仅仅是网站内容的一部分。虽然这两种产品都可以使用URL过滤,但是,应用层防火墙可以在URL中查找恶意代码:比如XSS攻击中使用的JavaScript;而内容过滤器仅仅在网络地址本身中查找。
尽管如此,网络安全网关、内容过滤产品和应用层防火墙已经慢慢地融合为统一的工具。该发展是自然而然的,因为许多威胁也已经结合起来并且现在需要多层防御。比如,虽然该内容过滤器可能会也可能不会阻止恶意站点,但是应用层防火墙会阻止它所携带的恶意代码。