Войти
.
Система сетевой безопасности уровня 7 / уровня приложенийбрандмауэр приложений - это форма брандмауэра, который управляет системой ввода / вывода или . вызывает приложения или службы. Он работает, отслеживая и блокируя обмен данными на основе настроенной политики, обычно с заранее определенными наборами правил на выбор. Брандмауэр приложений может управлять обменом данными вплоть до прикладного уровня модели OSI, который является наивысшим рабочим уровнем и откуда он получил свое название. Две основные категории брандмауэров приложений - это сетевые и хост-системы.
Джин Спаффорд из Университета Пердью, Билл Чесвик в ATT Laboratories и Маркус Ранум описали межсетевой экран третьего поколения, известный как межсетевой экран прикладного уровня. Работа Маркуса Ранума, основанная на брандмауэре, созданном Полом Викси, Брайаном Ридом и Джеффом Моголом, возглавила создание первого коммерческого продукта. Продукт был выпущен DEC и получил название DEC SEAL от Джеффа Маллигана - Secure External Access Link. Первая крупная продажа DEC состоялась 13 июня 1991 года компании Dupont.
Согласно более широкому контракту DARPA с TIS, Маркус Ранум, Вэй Сю и Питер Черчьярд разработали Firewall Toolkit (FWTK) и сделали его свободно доступным по лицензии в октябре 1993 года. Цели выпуска свободно доступного: не для коммерческого использования, FWTK были: продемонстрировать с помощью программного обеспечения, документации и используемых методов, как компания, имеющая (в то время) 11-летний опыт применения формальных методов безопасности, и лица, имеющие опыт работы с межсетевыми экранами, разрабатывали программное обеспечение межсетевого экрана; для создания общей базы очень хороших программных брандмауэров, которые могли бы использовать другие (чтобы людям не приходилось продолжать «катить свое собственное» с нуля); и «поднять планку» используемого программного обеспечения межсетевого экрана. Однако FWTK был основным прокси приложения, требующим взаимодействия с пользователем.
В 1994 году Вэй Сюй расширил FWTK, добавив в ядро усовершенствованный фильтр с отслеживанием состояния IP и прозрачность сокетов. Это был первый прозрачный межсетевой экран, известный как начало межсетевого экрана третьего поколения, помимо традиционного прокси-сервера приложений (межсетевой экран второго поколения ), выпущенный как коммерческий продукт, известный как межсетевой экран Gauntlet.. Межсетевой экран Gauntlet был признан одним из лучших межсетевых экранов приложений с 1995 по 1998 год, когда он был приобретен Network Associates Inc (NAI). Network Associates продолжала утверждать, что Gauntlet был «самым безопасным межсетевым экраном в мире», но в мае 2000 года исследователь безопасности Джим Стикли обнаружил большую уязвимость в межсетевом экране, позволяющую удаленный доступ к операционной системе и обходя меры безопасности.. Стикли обнаружил вторую уязвимость годом позже, положив конец доминирующему положению брандмауэров Gauntlet в области безопасности.
Фильтрация прикладного уровня работает на более высоком уровне, чем традиционные устройства безопасности. Это позволяет принимать решения о пакетах, основываясь не только на IP-адресе источника / получателя или портах, а также может использовать информацию, охватываемую несколькими соединениями для любого данного хоста.
Брандмауэры сетевых приложений работают на прикладном уровне стека TCP / IP и могут понимать определенные приложения и протоколы, такие как Протокол передачи файлов (FTP), Система доменных имен (DNS) или Протокол передачи гипертекста (HTTP). Это позволяет ему выявлять нежелательные приложения или службы, использующие нестандартный порт, или определять, не используется ли разрешенный протокол.
Современные версии межсетевых экранов сетевых приложений могут включать следующие технологии:
Межсетевые экраны веб-приложений (WAF) - это специализированная версия сетевого устройства, которое действует как обратный прокси, проверяя трафик перед его перенаправлением на связанный сервер.
Межсетевые экраны приложений на основе хоста отслеживают системные вызовы приложений или другие общие системные сообщения. Это дает больше детализации и контроля, но ограничивается только защитой хоста, на котором он работает. Контроль осуществляется путем фильтрации для каждого процесса. Как правило, приглашения используются для определения правил для процессов, которые еще не получили соединение. Дальнейшую фильтрацию можно выполнить, изучив идентификатор процесса владельца пакетов данных. Многие брандмауэры приложений на базе хоста объединены или используются вместе с фильтром пакетов.
Из-за технологических ограничений современные решения, такие как песочница, используются в качестве замены приложения на основе хоста. брандмауэры для защиты системных процессов.
Доступны различные брандмауэры для приложений, включая бесплатное программное обеспечение и программное обеспечение с открытым исходным кодом, а также коммерческие продукты.
Начиная с Mac OS X Leopard, была включена реализация MAC-инфраструктуры TrustedBSD (взятой из FreeBSD). Инфраструктура MAC TrustedBSD используется для «песочницы» служб и обеспечивает уровень брандмауэра с учетом конфигурации служб совместного использования в Mac OS X Leopard и Snow Leopard. Сторонние приложения могут предоставлять расширенные функции, включая фильтрацию исходящих соединений по приложению.
Это список пакетов программного обеспечения безопасности для Linux, позволяющий фильтровать взаимодействие приложений с ОС, возможно, на индивидуальной основе:
Эти устройства могут продаваться как оборудование, программное обеспечение или виртуализированные сетевые устройства.
. Межсетевые экраны следующего поколения:
. Брандмауэры / балансировщики нагрузки веб-приложений:
. Другие:
.
