Брандмауэр приложений
Эта статья нуждается в дополнительных цитатах для проверки . ( февраль 2010 г. ) |
— Брандмауэр приложения это форма брандмауэра , которая контролирует ввод/вывод или системные вызовы приложения или службы. Он работает путем мониторинга и блокировки соединений на основе настроенной политики, как правило, с предопределенными наборами правил на выбор. Двумя основными категориями межсетевых экранов приложений являются сетевые и хостовые .
История [ править ]
Джин Спаффорд из Университета Пердью , Билл Чесвик из AT&T Laboratories и Маркус Ранум описали межсетевой экран третьего поколения, известный как межсетевой экран прикладного уровня. Работа Маркуса Ранума, основанная на брандмауэре, созданном Полом Викси , Брайаном Ридом и Джеффом Могулом, возглавила создание первого коммерческого продукта. Продукт был выпущен DEC и назван Джеффом Маллиганом DEC SEAL — Secure external Access Link. Первая крупная продажа DEC состоялась 13 июня 1991 года компании Dupont.
В рамках более широкого контракта DARPA с TIS Маркус Ранум, Вэй Сюй и Питер Черчард разработали набор инструментов для межсетевого экрана (FWTK) и в октябре 1993 года предоставили его бесплатно по лицензии. [1] Целью выпуска свободно доступного, а не для коммерческого использования, FWTK было: продемонстрировать с помощью программного обеспечения, документации и используемых методов, как компания с (на тот момент) 11-летним опытом использования формальных методов безопасности и отдельные лица с брандмауэром опыт работы, разработанное программное обеспечение межсетевого экрана; создать общую базу очень хорошего программного обеспечения межсетевых экранов, на которую смогут опираться другие (чтобы людям не приходилось продолжать «развертывать свои собственные» с нуля); чтобы «поднять планку» используемого программного обеспечения брандмауэра. Однако FWTK был базовым прокси-сервером приложения, требующим взаимодействия с пользователем.
В 1994 году Вэй Сюй расширил FWTK усовершенствованием ядра, включающим фильтр с отслеживанием состояния IP и прозрачность сокетов. Это был первый прозрачный брандмауэр, известный как начало брандмауэра третьего поколения , выходящий за рамки традиционного прокси-сервера приложений ( брандмауэр второго поколения ), выпущенный как коммерческий продукт, известный как брандмауэр Gauntlet. Брандмауэр Gauntlet считался одним из лучших межсетевых экранов для приложений с 1995 по 1998 год, когда он был приобретен компанией Network Associates Inc (NAI). Network Associates продолжала утверждать, что Gauntlet был «самым безопасным брандмауэром в мире», но в мае 2000 года исследователь безопасности Джим Стикли обнаружил большую уязвимость в брандмауэре, позволяющую удаленный доступ к операционной системе и обходя средства контроля безопасности. [2] Стикли обнаружил вторую уязвимость, фактически положив конец доминированию брандмауэров Gauntlet в безопасности. Год спустя [3]
Описание [ править ]
Фильтрация прикладного уровня работает на более высоком уровне, чем традиционные устройства безопасности. Это позволяет принимать решения о пакетах на основе не только IP-адреса или портов источника/назначения, а также может использовать информацию, охватывающую несколько соединений для любого данного хоста.
Брандмауэры сетевых приложений [ править ]
Сетевые межсетевые экраны приложений работают на уровне приложений стека TCP/IP. [4] и может понимать определенные приложения и протоколы, такие как протокол передачи файлов (FTP), систему доменных имен (DNS) или протокол передачи гипертекста (HTTP). Это позволяет ему идентифицировать нежелательные приложения или службы, использующие нестандартный порт, или обнаружить злоупотребление разрешенным протоколом. [5]
Современные версии межсетевых экранов сетевых приложений могут включать в себя следующие технологии:
Брандмауэры веб-приложений (WAF) — это специализированная версия сетевого устройства, которое действует как обратный прокси-сервер , проверяя трафик перед его пересылкой на связанный сервер.
Межсетевые экраны приложений на базе хоста [ править ]
Межсетевой экран приложений на базе хоста отслеживает системные вызовы приложений или другие общие системные коммуникации. Это дает больше детализации и контроля, но ограничивается защитой только хоста, на котором он работает. Управление осуществляется путем фильтрации по каждому процессу. Обычно подсказки используются для определения правил для процессов, которые еще не получили соединение. Дальнейшую фильтрацию можно выполнить, проверив идентификатор процесса владельца пакетов данных. Многие межсетевые экраны приложений на базе хоста комбинируются или используются вместе с фильтром пакетов. [6]
Из-за технологических ограничений современные решения, такие как песочница, используются в качестве замены межсетевых экранов приложений на хосте для защиты системных процессов. [7]
Реализации [ править ]
Доступны различные брандмауэры приложений, включая как бесплатное программное обеспечение, так и программное обеспечение с открытым исходным кодом, а также коммерческие продукты.
[Mac OS
Начиная с Mac OS X Leopard, была включена реализация инфраструктуры MAC TrustedBSD (взятой из FreeBSD). [8] Структура MAC TrustedBSD используется для изолированной среды служб и обеспечивает уровень брандмауэра, учитывая конфигурацию служб общего доступа в Mac OS X Leopard и Snow Leopard. Сторонние приложения могут предоставлять расширенные функциональные возможности, включая фильтрацию исходящих подключений по приложениям.
Линукс [ править ]
Это список пакетов программного обеспечения безопасности для Linux, позволяющих фильтровать взаимодействие приложений с ОС, возможно, по каждому пользователю:
- AppArmor
- Kerio Control — коммерческий продукт
- ModSecurity — также работает под Windows, Mac OS X, Solaris и другими версиями Unix . ModSecurity предназначен для работы с веб-серверами IIS, Apache2 и NGINX.
- Portmaster от Safing — приложение для мониторинга активности. Он также доступен в Windows . [9]
- Систраце
- Зорп
Окна [ править ]
- Портмастер
Сетевые устройства [ править ]
Эти устройства могут продаваться как аппаратное обеспечение, программное обеспечение или виртуализированные сетевые устройства.
Межсетевые экраны следующего поколения:
- Защита от угроз огневой мощи Cisco
- Контрольно-пропускной пункт
- Fortinet FortiGate Серия
- Серия Juniper Networks SRX
- Пало-Альто Нетворкс
- Серия SonicWALL TZ/АНБ/SuperMassive
Брандмауэры веб-приложений/балансировщики нагрузки:
- A10 Networks Брандмауэр веб-приложения
- Брандмауэр веб-приложений Barracuda Networks /ADC балансировщика нагрузки
- Citrix NetScaler
- F5 Networks BIG-IP Менеджер безопасности приложений
- Серия Fortinet FortiWeb
- КЭМП Технологии
- Имперва
Другие:
См. также [ править ]
Ссылки [ править ]
- ^ «Выпуск инструментария брандмауэра V1.0» . Проверено 28 декабря 2018 г.
- ^ Кевин Пулсен (22 мая 2000 г.). «В брандмауэре NAI обнаружена дыра в безопасности» . www.securityfocus.com . Проверено 14 августа 2018 г.
- ^ Кевин Пулсен (5 сентября 2001 г.). «Зияющая дыра в брандмауэре Gauntlet NAI» . theregister.co.uk . Проверено 14 августа 2018 г.
- ^ Луис Ф. Медина (2003). Серия «Самое слабое звено безопасности» (1-е изд.). Вселенная. п. 54. ИСБН 978-0-595-26494-0 .
- ^ «Что такое уровень 7? Как работает уровень 7 Интернета» . Облачная вспышка . Проверено 29 августа 2020 г.
- ^ «Программные межсетевые экраны: сделаны из соломы? Часть 1 из 2» . Symantec.com . Сообщество Symantec Connect. 29 июня 2010 г. Проверено 5 сентября 2013 г.
- ^ «Что такое песочница (тестирование и безопасность программного обеспечения)? — Определение с сайта WhatIs.com» . Поисковая безопасность . Проверено 15 ноября 2020 г.
- ^ «Структура обязательного контроля доступа (MAC)» . ДовереннаяBSD . Проверено 5 сентября 2013 г.
- ^ «Спасение портмастера» . safing.io . Проверено 4 ноября 2021 г.
Внешние ссылки [ править ]
- Брандмауэр веб-приложений , открытый проект безопасности веб-приложений
- Критерии оценки брандмауэра веб-приложений , предоставленные Консорциумом безопасности веб-приложений.
- Безопасность в облаке: «испарение» брандмауэра веб-приложений для защиты облачных вычислений