IP模擬器
隨著對Web服務器的攻擊越來越普遍,顯然需要一個防火墻來保護網絡免受應用層的攻擊。包過濾和狀態檢測防火墻無法區分封裝在明顯有效的協議流量中的有效應用層協議請求、數據和惡意流量。
提供應用層過濾的防火墻可以檢查數據包的有效負載,區分有效請求、數據和偽裝成有效請求或數據的惡意代碼。因為這種類型的防火墻根據有效負載的內容做出決定,所以它為安全工程師提供了對網絡流量的更好控制,并設置了允許或拒絕特定應用程序請求或命令的規則。例如,它可以允許或拒絕來自特定用戶的特定傳入遠程登錄命令,而其他防火墻只能控制來自特定主機的常規傳入請求。
如果這種類型的防火墻也能防止攻擊者直接連接到網絡,那就更好了。在代理服務器上安裝防火墻將使攻擊者更難發現網絡的實際位置并創建另一個安全層。
當存在代理防火墻時,客戶端和服務器都被迫通過中介(承載應用層防火墻的代理服務器)進行對話。現在,每次外部客戶端請求與內部服務器建立連接時(反之亦然),客戶端都會打開與代理的連接。如果連接滿足防火墻規則庫中的條件,代理將打開與請求的服務器的連接。因為防火墻位于邏輯連接的中間,所以它可以監控應用層中任何惡意活動跡象的流量。
應用層過濾的主要好處是可以屏蔽特定的內容,如已知的惡意軟件或一些網站,并識別某些應用程序和協議,如超文本傳輸??協議(HTTP)、文件傳輸協議(FTP)和域名系統(DNS)被濫用。應用層防火墻規則也可用于控制特定應用程序的文件執行或數據處理。
