“应用程序感知防火墙”和"web应用防火墙“有什么区别？

Question

我正在学习CCSP，我的培训材料对于“应用程序感知防火墙”和"web应用防火墙“的定义并不十分清楚。

培训材料指出：

早期，这些设备仅限于端口阻塞，无法在穿越接口的数据包中查看。然后有状态的数据包检查进入图片，这允许防火墙阻止入站流量进入，除非连接是从网络内部启动的。今天的应用程序防火墙比几年前的前一代要好得多。然而，这场战斗继续与攻击和他们的诡计方式，这导致我们的web应用防火墙(WAF)。

然后，该材料继续讨论WAFs如何工作(在OSI模型的第7层)，但是没有更多关于“应用程序感知防火墙”的信息。

这里有什么区别？“应用程序感知”防火墙是否与安装在用户工作站上的软件防火墙相同？

Answer 1

应用程序感知防火墙不仅了解端口，而且了解特定应用程序侦听特定端口。它们确实基于主机(安装在用户工作站或服务器上)，防止恶意软件监听通常由合法应用程序使用的端口。

例如，您可能会在传统防火墙上打开端口80，因为您具有正在运行的IIS，并且希望允许web通信。如果恶意软件要杀死IIS并开始监听端口80，传统的网络防火墙将很高兴地将流量交付给它，因为它只知道它有一条规则，规定它应该允许为端口80指定的通信量。

另一方面，应用程序感知的防火墙有一条规则，允许向IIS的通信量，如果恶意软件关闭了它，防火墙将开始阻塞IIS监听的端口的通信，如果没有允许该通信量的附加规则，恶意软件默认会被有效阻止。

入站示例是真实的，但有点人为的。这变得特别有用的情况是，您有一个非常锁定的主机和一组有限的应用程序，需要允许通信出站。您现在根本不需要允许通过打开的端口通过防火墙进行出站通信，而只需设置特定于应用程序的规则，只允许需要对外通信的一组应用程序就可以这样做。正确的做法会严重限制恶意软件与命令和控制基础设施通信、提取数据或用于网络中的进一步横向移动的能力。

另一方面，web应用程序防火墙在另一种意义上是应用程序感知的，虽然它仍然只是一个基于网络的防火墙，但它对HTTP流量有一个具体的理解，它可以检查流量并应用规则来识别和阻止潜在的恶意通信，然后才能到达HTTP应用程序。因此，它不在乎web服务器应用程序是IIS、Apache还是恶意软件，但如果它看到一个包含通用SQL注入模式的入站请求，它可以拒绝将请求转发到web服务器，从而保护它免受设计为保护自己不受攻击的攻击。