Vad är tillämpningen av säkerhet? Ansökan säkerhet är säkerhet vid nätets ansökningar, dessa applikationer är: kreditkortsnummer, konfidentiell information, användarprofiler och annan information. Så vad är att skydda dessa ansökningar från skadliga attacker, svårighetsgrad lögn? Enligt vår mening den svagaste länken i dessa tillämpningar är det nätverk port på brandväggen 80 (främst för HTTP) och port 443 (för SSL) när du utsättas för ett angrepp. Då brandväggen att upptäcka hur dessa attacker, och blockera den? Sammanfattas nedan åtta ansökan säkerhetsteknik, har följande lydelse:
Deep Packet bearbetning
Deep Packet behandlingen ibland kallas djupt Packet Inspection eller en semantisk provning är det antalet datapaket till en dataström som är associerade med dem, letar efter onormalt beteende attack samtidigt som tillståndet i hela dataströmmen. Deep Packet krav på behandling av hög hastighet analys, testning och åter hopfogas ansökan trafiken för att undvika dröjsmål för talan. Följande tekniska företrädare för varje djup paket bearbetning på olika nivåer.
TCP / IP uppsägning
Applikationslagret attacker med flera datapaket, och omfattar ofta flera framställningar, strömmar de olika uppgifterna. Trafikanalys för att vara effektivt måste det bevara samspelet mellan användaren och ansökan under hela sessionen, för att upptäcka datapaket och begär att hitta attacker. Åtminstone som måste kunna avsluta transport protokoll, och hela dataströmmen, inte bara i ett enda paket för att hitta skadliga mönster.
SSL Uppsägning
Idag är nästan alla säkerhetslösningar med HTTPS för att säkerställa telehemligheten. Men krypterade SSL-dataströmmar med början till slut, så de passiva detektorer, t.ex. system för upptäckt av intrång (IDS) produkt är ogenomskinlig. För att förhindra skadlig trafik, tillämpning brandvägg att avsluta SSL, för att avkoda dataströmmen för att kontrollera trafiken i klartext. Detta är det grundläggande skyddet av krav ansökan trafik. Om din säkerhetspolitiken inte tillåter känslig information okrypterat över nätverket sammanhang måste du skicka trafik till webbservern innan den nya kryptering lösning.
URL-filtrering
När ansökan trafiken var klar format måste man upptäcka URL av HTTP-begäran, leta efter tecken på angrepp, såsom misstänkta för enhetlig kod kodning (Unicode-kodning). URL-filtrering funktioner baserade på programmet, bara för att upptäcka uppdateras regelbundet inslag matchning, att filtrera bort kända attacker såsom Code Red och Nimda-relaterade URL, detta räcker inte. Detta kräver ett program kan inte bara kontrollera RUL, kontrollera även resten av begäran. Faktum är att om ansökan svar beaktas, kan avsevärt förbättra noggrannheten i att upptäcka attacker. Även URL-filtrering är en viktig operation, kan hindra den vanliga skriften av ung typ av angrepp, men inte motstå de flesta av de sårbarheter applikationslagret.
Begär Analys
Begäran om en omfattande analys av tekniken än mer effektiv användning av URL-filtrering, webbserver grupp kan förhindra cross-site scripting (cross-site scripting) sårbarhet och andra sårbarheter. Omfattande analys av begäran till URL-filtrering går ett steg längre: att se till att ansökan uppfyller kraven för att följa standard HTTP-specifikationer, samtidigt som en rimlig del av den enskildes begäran inom storleksgränsen. Tekniken för att förhindra attacker buffer overflow är mycket effektiva. Är dock begära analys ger fortfarande en icke-statlig teknik. Det kan bara upptäcka den aktuella begäran. Som vi vet kommer ihåg tidigare beteende kan vara mycket meningsfull analys, medan mer ingående skydd.
Användarsession spårning
Mer avancerad teknik är nästa användare session spårning. Detta är tillämpningen av de grundläggande upptäckt flödet statliga tekniska komponenter: spåra användare sessioner, för att korrelera beteendet hos enskilda användare. Denna funktion är normalt med hjälp av URL skriva (URL omskrivning) som skall nås med hjälp av blocket information om. Så länge spåra enskilda användarens begäran, kan vi förhindrar genomförandet av mycket stränga kontroller. Detta skulle effektivt förhindra sessionskapning (session-kapning), och information blockera förgiftning (cookie-förgiftning) typ av utsatthet. Effektiv inte bara spåra ansökan session spårningsinformation block för att skapa en brandvägg, men även genereras information om tillämpningen av digital signatur block, för att skydda uppgifterna blocket inte manipuleras. Detta måste kunna spåra svaret på varje begäran och extrahera information informationssektorn.
Svar mönstermatchning
Svar för tillämpningen av mönstermatchning ger ett mer omfattande skydd: det inte bara kontroll begäran till webbservern, kontrollera även webbservern genererar ett svar. Det kan vara mycket effektiva för att förhindra skador på tomten eller, mer exakt, att förebygga skador till platsen har visats. På respons av den modell som är likvärdig med i begäran matcher i slutet av URL-filter. Tre nivåer svar på mönstermatchning. Skadeförebyggande åtgärder som utförts av ansökan brandvägg, det är statiskt innehåll sida, en digital signatur. Om du hittar innehåll från webbservern efter ändringarna kommer brandväggen att ersättas med det ursprungliga innehållet har förstörts sidan. Som för att hantera spridning av känsliga uppgifter, övervakar tillämpningen brandväggen svaret, kan servern att det är fel att hitta mönster, till exempel bryta en lång lista med Java undantag. Om vi hittar ett sådant läge kommer brandväggen reagera på dem togs bort från, eller helt enkelt spärra svar.
En "stop and go" ord ("stopp och go'word) Programmet kommer att se ut för att visas eller inte visas i tillämpningen av de svar som genereras inuti fördefinierade generisk modell. Till exempel kan ansökan krävs för varje sida ska ha ett meddelande om upphovsrätt.
Beteendemodeller
Beteendemodeller ibland kallas positiv säkerhet modell eller den vita listan "(vita listan) säkerhet är det enda försvar den svåraste ansökan svagheter - noll-dag sårbarhet skydd. Zero-day sårbarhet är inte skrivet dokument eller "vet ej"-attacker. Den enda för att handskas med sådana attacker är att endast beteende kända gott uppförande, och andra förbjudna handlingar. De tekniska kraven för tillämpningen av beteende modellering, vilket i sin tur kräver en omfattande analys av ansökningar till varje svar på varje begäran, är syftet att identifiera beteende sidelement, t.ex. formulärfält, knappar och hyperlänkar. Denna nivå av analys återfinns skadlig dolda formulärfält, och kontrollera typ av fält sårbarhet form, samtidigt som användarna får tillgång till webbadressen om genomförandet av mycket noggrann övervakning. Beteendemässiga Modellering är det enda effektiva svar på alla de 16 typer av luckor i den tekniska tillämpningen. Beteendemodeller är ett bra koncept, men dess effekt är ofta begränsad av deras strikta natur. Till exempel, i vissa fall ett stort antal program som använder avascript eller avsiktligt avviker från det beteende som modellen kan leda till fel beteende modellering, ger upphov till falskt positiva, en rimlig användaren tillgång till avslag. Beteendemodeller skall kunna användas, krävs en viss grad av mänsklig påverkan, för att förbättra noggrannheten av säkerheten modellen. Automatiskt förutsäga beteende kallas regeln generation eller tillämpning av lärande, strängt taget, inte tekniken trafiken upptäckt, men en del prov (meta-inspektion) teknologi, som kan analysera trafiken, inrättandet av beteendemönster, och en mängd relaterad teknik som genererats genom beteendemässiga modell tillämpas på en uppsättning regler för att förbättra noggrannheten. Beteendemodeller har fördelen av kortsiktiga studier, efter det att automatiskt konfigurera. Säkerhetspersonal för att skydda port 80 står inför den största en av de viktigaste utmaningarna. Lyckligtvis, för nu finns det innovativa lösningar lösa detta problem, och fortsätter att förbättras. Om skiktad säkerhet infrastruktur som kan integreras inom 16 kategorier av ansökan sårbarheter blockera ansökan brandvägg applikationssäkerhet att du kan lösa detta problem.