应用程序防火墙或者代理程序对于管理信息包的过滤检测方面有着很大的优势,但是尽管这些类型的防火墙能够防御很多网络级的袭击,他们对于Web上的那些应用程序的漏洞还是无能为力,而这些漏洞经常成为黑客袭击的对象,黑客们可以通过URL的操作可以直接达到他们攻击网站的目的。不过,应用程序防火墙可以做到的对于特定应用程序的准入控制。应用程序防火墙还可以直接鉴别用户的身份,比如,他们可以对一个未知的远程用户的进入要求进行准入或拒绝的操作,而其他一般性质的防火墙则仅仅对于来自特定主机的进入要求进行处理和控制。
与此同时,应用程序防火墙能够监测对于信息包的有效载荷进行审查,并根据当前的信息量做出判断,从而可以更好的控制过滤器的容量。另外,应用程序防火墙还能够对整个网络的信息包进行监测,而不仅仅是网络的关口,这就意味着它有更大的权限,可以执行一些特殊的应用程序的命令,这对于处理安全危机和措施执行方面都提供了大大的方面。
因此,从以上这些明显的优势来说,为什么应用程序防火墙还不是一个默认的最好选择呢?主要的原因在于它的价格和执行操作上。因为所有的进入网络的数据都是在应用程序层进行检测,所以数据在之前就必须通过OSI模型的其他七层,然而另一方面包过滤器等检测程序则仅在网络层工作。因为防火墙必须要对于计算机内的每一个数据包进行检测,这样一来检测程序就会非常繁杂,而成为网络运行过程中的制约瓶颈。这就意味着,应用程序防火墙对于拒绝服务型攻击 (denial-of-service attacks)来说就不能够实行有效的保护,因此对于带宽较高和实时的用户来说,应用程序防火墙就很有可能对于操作系统的潜在威胁的突然袭击束手无策。
应用程序防火墙的另一个弱点就在于每一个不同的协议,比如HTTP, SMTP, 等等,都要求其自己的代理应用程序,而很少能够支持新网络的应用程序和协议。虽然大部分的防火墙厂商都提供了一般性的代理来支持未经定义的网络协议或者应用程序,但是,在这些为定义协议进入的时候,应用程序防火墙并不会执行其防火墙的作用,而只是一个进入通道。
也就是说,在这种情况下,独立运行并操作的动态包过滤防火墙和其他包过滤防火墙,对于网络的执行起着非常有限的作用。由于用户的增加,可测量性也逐渐成为了一个问题,应用程序防火墙的通常会要求网络上的用户安装特殊的软件,或者进行配置的改变,从而能够和应用程序代理进行连接。这对于这个网络会是一个很大的影响。
希望您已经了解了为什么应用程序防火墙并不适合每一个人。您的问题中还提到了正安全模式?对于应用程序防火墙的两种操作途径都是正安全模式下的,相对于负安全模式,而负安全模式就是指通过纪录原始袭击的数据库来队一次袭击进行判定。这种模式的弱点就是对于新的进入无法进行阻拦,而且它的数据库必须要进行每日的更新。与负安全模式的假设所有进入为合法,除非记载为非合法进入不同,正安全模式关注于用户是否执行了规定的操作,也就是说正安全模式是假设所有进入为非法进入,除非记载为合法。尽管正安全模式有明显的优势,使用正安全模式的产品比起没有使用它的产品来说,通常较昂贵并且操作复杂,所以,问题最后还是归结到了金钱和时间。
