¿Cuál es la diferencia entre un "firewall que reconoce la aplicación" y un "firewall de la aplicación web"?

3

Estoy estudiando para el CCSP y mi material de capacitación no es muy claro sobre la definición entre "firewall para aplicaciones" y "firewall para aplicaciones web".

El material de capacitación dice:

  

Desde el principio, estos dispositivos estaban limitados a simplemente bloquear puertos sin   Capacidad de ver dentro de los paquetes que atraviesan la interfaz. Entonces   inspección de paquetes de estado entró en la imagen, lo que permitió   cortafuegos para evitar que entre el tráfico entrante a menos que el   La conexión se había iniciado desde dentro de la red.

     

Los cortafuegos de hoy en día conscientes de las aplicaciones son muy superiores a sus   Los predecesores de incluso hace unos años. Sin embargo, la batalla continúa   Con ataques y sus formas astutas, lo que nos lleva a la web.   firewall de aplicaciones (WAF).

Luego, el material continúa hablando sobre cómo funcionan los WAF (en la capa 7 del modelo OSI), pero no hay más información acerca de los "cortafuegos que reconocen las aplicaciones".

¿Cuál es la diferencia aquí? ¿Un firewall "sensible a la aplicación" es lo mismo que un firewall de software instalado en la estación de trabajo del usuario?

    
pregunta Mike B 18.04.2018 - 17:04
fuente

1 respuesta

3

Un firewall que reconoce aplicaciones no solo comprende puertos, sino que las aplicaciones específicas escuchan puertos específicos. De hecho, se basan en el host (se instalan en una estación de trabajo de un usuario o en un servidor) y evitan que el malware escuche en un puerto que normalmente usaría una aplicación legítima.

Por ejemplo, puede abrir el puerto 80 en un firewall tradicional porque tiene IIS en ejecución y desea permitir el tráfico web. Si el malware eliminara IIS y comenzara a escuchar en el puerto 80, el firewall de red tradicional le enviará felizmente el tráfico, porque todo lo que sabe es que tiene una regla que dice que debería permitir el tráfico especificado para el puerto 80.

Por otra parte, un firewall que reconoce la aplicación tiene una regla que permite el tráfico a IIS específicamente, y si el malware lo apaga, el firewall comenzará a bloquear el tráfico hacia los puertos en los que IIS escuchó, y en ausencia de Las reglas que permiten ese tráfico, el malware está efectivamente bloqueado por defecto.

El ejemplo de entrada es real, pero ligeramente ideado. Donde esto se vuelve particularmente útil es en situaciones en las que tiene un host muy bloqueado y un conjunto limitado de aplicaciones que deben poder comunicarse. Ahora ya no necesita permitir el tráfico saliente a través de puertos abiertos a través del firewall, sino que simplemente puede establecer reglas específicas de la aplicación permitiendo que solo el conjunto de aplicaciones que necesitan comunicarse saliente lo haga. Hecho correctamente, esto puede restringir severamente la capacidad del malware para comunicarse con el comando & Infraestructura de control, para filtrar datos o para utilizarlos en movimientos adicionales en una red.

Por otra parte, un servidor de seguridad de aplicaciones web es consciente de la aplicación en un sentido diferente, en el sentido de que aunque solo es un servidor de seguridad basado en la red, tiene una comprensión específica de cómo se ve el tráfico HTTP y puede inspeccionar el trazar y aplicar reglas para identificar y detener el tráfico potencialmente malicioso antes de que llegue a la aplicación HTTP. Por lo tanto, no importa si la aplicación del servidor web es IIS, Apache o malware, pero si ve una solicitud entrante que contiene un patrón de inyección de SQL común, por ejemplo, puede rechazar el reenvío de la solicitud a el servidor web, protegiéndolo de ataques de los que no está diseñado para protegerse a sí mismo.

    
respondido por el Xander 18.04.2018 - 17:23
fuente

Lea otras preguntas en las etiquetas