随着对Web服务器的攻击越来越普遍,显然需要一个防火墙来保护网络免受应用层的攻击。包过滤和状态检测防火墙无法区分封装在明显有效的协议流量中的有效应用层协议请求、数据和恶意流量。
提供应用层过滤的防火墙可以检查数据包的有效负载,区分有效请求、数据和伪装成有效请求或数据的恶意代码。因为这种类型的防火墙根据有效负载的内容做出决定,所以它为安全工程师提供了对网络流量的更好控制,并设置了允许或拒绝特定应用程序请求或命令的规则。例如,它可以允许或拒绝来自特定用户的特定传入远程登录命令,而其他防火墙只能控制来自特定主机的常规传入请求。
如果这种类型的防火墙也能防止攻击者直接连接到网络,那就更好了。在代理服务器上安装防火墙将使攻击者更难发现网络的实际位置并创建另一个安全层。
当存在代理防火墙时,客户端和服务器都被迫通过中介(承载应用层防火墙的代理服务器)进行对话。现在,每次外部客户端请求与内部服务器建立连接时(反之亦然),客户端都会打开与代理的连接。如果连接满足防火墙规则库中的条件,代理将打开与请求的服务器的连接。因为防火墙位于逻辑连接的中间,所以它可以监控应用层中任何恶意活动迹象的流量。
应用层过滤的主要好处是可以屏蔽特定的内容,如已知的恶意软件或一些网站,并识别某些应用程序和协议,如超文本传输??协议(HTTP)、文件传输协议(FTP)和域名系统(DNS)被滥用。应用层防火墙规则也可用于控制特定应用程序的文件执行或数据处理。