Uygulama güvenlik duvarı - Application firewall
| Bir dizinin parçası |
| Bilgi Güvenliği |
|---|
| İlgili güvenlik kategorileri |
| Tehditler |
| Savunma |
 | Bu makale için ek alıntılara ihtiyaç var doğrulama. (2010 Şubat) (Bu şablon mesajını nasıl ve ne zaman kaldıracağınızı öğrenin) |
Bir uygulama güvenlik duvarı bir biçimdir güvenlik duvarı bu kontrol eder giriş çıkış veya sistem çağrıları bir uygulamanın veya hizmetin. Yapılandırılmış bir ilkeye dayalı olarak, genellikle aralarından seçim yapabileceğiniz önceden tanımlanmış kural kümeleriyle iletişimleri izleyerek ve engelleyerek çalışır. Uygulama güvenlik duvarı, şu ana kadar iletişimleri kontrol edebilir: uygulama katmanı of OSI modeli, en yüksek işletim katmanı olan ve adını nereden aldığı. Uygulama güvenlik duvarlarının iki ana kategorisi şunlardır: ağ tabanlı ve ana bilgisayar tabanlı.
Tarih
Gene Spafford nın-nin Purdue Üniversitesi, Bill Cheswick -de AT&T Laboratuvarları, ve Marcus Ranum uygulama katmanı güvenlik duvarı olarak bilinen üçüncü nesil bir güvenlik duvarını tanımladı. Marcus Ranum'un Paul Vixie, Brian Reed ve Jeff Mogul tarafından oluşturulan güvenlik duvarına dayanan çalışması, ilk ticari ürünün yaratılmasına öncülük etti. Ürün, DEC SEAL olarak adlandırılan DEC tarafından piyasaya sürüldü. Geoff Mulligan - Güvenli Dış Erişim Bağlantısı. DEC'in ilk büyük satışı 13 Haziran 1991'de Dupont'a yapıldı.
TIS'deki daha geniş bir DARPA sözleşmesi kapsamında Marcus Ranum, Wei Xu ve Peter Churchyard Firewall Toolkit'i (FWTK) geliştirdi ve Ekim 1993'te lisans altında ücretsiz olarak kullanılabilir hale getirdi.[1] FWTK'nın ticari kullanım için değil, ücretsiz olarak mevcut olanı serbest bırakma amaçları şunlardı: kullanılan yazılım, dokümantasyon ve yöntemler aracılığıyla, resmi güvenlik yöntemlerinde (o sırada) 11 yıllık deneyime sahip bir şirketin nasıl olduğunu ve güvenlik duvarı deneyimi, gelişmiş güvenlik duvarı yazılımı; başkalarının üzerine inşa edebileceği çok iyi bir güvenlik duvarı yazılımından oluşan ortak bir temel oluşturmak (böylece insanların sıfırdan "kendi başlarına" yuvarlamaya devam etmeleri gerekmedi); ve kullanılan güvenlik duvarı yazılımının "çıtasını yükseltmek". Ancak, FWTK, kullanıcı etkileşimlerini gerektiren temel bir uygulama proxy'siydi.
1994 yılında Wei Xu, FWTK'yı IP durum bilgisi olan filtre ve soket şeffaf Kernel geliştirmesiyle genişletti. Bu, başlangıç olarak bilinen ilk şeffaf güvenlik duvarıydı. üçüncü nesil güvenlik duvarı, geleneksel bir uygulama proxy'sinin ötesinde (ikinci nesil güvenlik duvarı ), Gauntlet güvenlik duvarı olarak bilinen ticari ürün olarak piyasaya sürüldü. Gauntlet güvenlik duvarı, Network Associates Inc (NAI) tarafından satın alındığı yıl olan 1995'ten 1998'e kadar en iyi uygulama güvenlik duvarlarından biri olarak derecelendirilmiştir. Network Associates, Gauntlet'in "dünyanın en güvenli güvenlik duvarı" olduğunu iddia etmeye devam etti, ancak Mayıs 2000'de güvenlik araştırmacısı Jim Stickley güvenlik duvarında işletim sistemine uzaktan erişime izin veren ve güvenlik kontrollerini atlayan büyük bir güvenlik açığı keşfetti.[2] Stickley bir yıl sonra ikinci bir güvenlik açığını keşfetti ve Gauntlet güvenlik duvarlarının güvenlik hakimiyetini etkili bir şekilde sona erdirdi.[3]
Açıklama
Uygulama katmanı filtreleme, geleneksel güvenlik araçlarından daha yüksek bir seviyede çalışır. Bu, paket kararlarının yalnızca kaynak / hedef IP Adresinden veya bağlantı noktalarından daha fazlasına dayalı olarak alınmasına izin verir ve ayrıca herhangi bir ana bilgisayar için birden fazla bağlantıya yayılan bilgileri kullanabilir.
Ağ tabanlı uygulama güvenlik duvarları
Ağ tabanlı uygulama güvenlik duvarları, bir uygulamanın uygulama katmanında çalışır. TCP / IP yığını[4] ve aşağıdaki gibi belirli uygulamaları ve protokolleri anlayabilir dosya aktarım Protokolü (FTP), Alan Adı Sistemi (DNS) veya Üstmetin transfer protokolü (HTTP). Bu, standart olmayan bir bağlantı noktası kullanarak istenmeyen uygulamaları veya hizmetleri tanımlamasına veya izin verilen bir protokolün kötüye kullanılıp kullanılmadığını tespit etmesine olanak tanır.[5]
Ağ tabanlı uygulama güvenlik duvarlarının modern sürümleri aşağıdaki teknolojileri içerebilir:
Web uygulaması güvenlik duvarları (WAF), ağ tabanlı bir cihazın özel bir sürümüdür. ters vekil, ilişkili bir sunucuya iletilmeden önce trafiği incelemek.
Ana bilgisayar tabanlı uygulama güvenlik duvarları
Ana bilgisayar tabanlı bir uygulama güvenlik duvarı uygulamayı izler sistem çağrıları veya diğer genel sistem iletişimi. Bu, daha fazla ayrıntı ve kontrol sağlar, ancak yalnızca üzerinde çalıştığı ana bilgisayarı korumakla sınırlıdır. Kontrol, proses bazında filtreleme ile uygulanır. Genel olarak bilgi istemleri, henüz bir bağlantı almamış işlemlerin kurallarını tanımlamak için kullanılır. Veri paketlerinin sahibinin işlem kimliği incelenerek daha fazla filtreleme yapılabilir. Birçok ana bilgisayar tabanlı uygulama güvenlik duvarı, bir paket filtresi ile birleştirilir veya birlikte kullanılır.[6]
Teknolojik sınırlamalar nedeniyle, aşağıdaki gibi modern çözümler korumalı alan sistem işlemlerini korumak için ana bilgisayar tabanlı uygulama güvenlik duvarlarının yerini almak üzere kullanılmaktadır.[7]
Uygulamalar
Hem ücretsiz hem de açık kaynaklı yazılımlar ve ticari ürünler dahil olmak üzere çeşitli uygulama güvenlik duvarları mevcuttur.
Mac OS X
Mac OS X Leopard'dan başlayarak, TrustedBSD MAC çerçevesinin (FreeBSD'den alınmıştır) bir uygulaması dahil edildi.[8] TrustedBSD MAC çerçevesi, korumalı alan hizmetlerinde kullanılır ve Mac OS X Leopard ve Snow Leopard'daki paylaşım hizmetlerinin yapılandırmasına göre bir güvenlik duvarı katmanı sağlar. Üçüncü taraf uygulamalar, giden bağlantıların uygulamaya göre filtrelenmesi dahil olmak üzere genişletilmiş işlevsellik sağlayabilir.
Linux
Bu, Linux için güvenlik yazılımı paketlerinin bir listesidir ve uygulamanın işletim sistemi iletişimine muhtemelen kullanıcı bazında filtrelenmesine izin verir:
- Kerio Kontrolü - ticari bir Ürün
- AppArmor
- ModSecurity - Windows, Mac OS X altında da çalışır, Solaris ve diğer versiyonları Unix. ModSecurity, IIS, Apache2 ve NGINX web sunucuları ile çalışmak üzere tasarlanmıştır.
- Systrace
- Zorp
pencereler
Ağ cihazları
Bu cihazlar donanım, yazılım veya sanallaştırılmış ağ cihazları olarak satılabilir.
Yeni Nesil Güvenlik Duvarları:
- Cisco Ateş Gücü Tehdit Savunması
- Kontrol Noktası
- Fortinet FortiGate Serisi
- Ardıç Ağları SRX Serisi
- Palo Alto Ağları
- SonicWALL TZ / NSA / SuperMassive Serisi
Web Uygulaması Güvenlik Duvarları / Yük Dengeleyiciler:
- A10 Ağları Web Uygulaması Güvenlik Duvarı
- Barracuda Networks Web Uygulaması Güvenlik Duvarı / Yük Dengeleyici ADC
- Citrix NetScaler
- F5 Ağları BIG-IP Uygulama Güvenliği Yöneticisi
- Fortinet FortiWeb Serisi
- KEMP Teknolojileri
- Imperva
Diğerleri:
Ayrıca bakınız
Referanslar
- ^ "Güvenlik duvarı araç seti V1.0 sürümü". Alındı 2018-12-28.
- ^ Kevin Pulsen (22 Mayıs 2000). "NAI Güvenlik Duvarında Güvenlik Deliği bulundu". securityfocus.com. Alındı 2018-08-14.
- ^ Kevin Pulsen (5 Eylül 2001). "NAI'nin Gauntlet güvenlik duvarında açık delik". theregister.co.uk. Alındı 2018-08-14.
- ^ Luis F.Medina (2003). En Zayıf Güvenlik Bağlantısı Serisi (1. baskı). IUniverse. s. 54. ISBN 978-0-595-26494-0.
- ^ "7. Katman nedir? İnternetin 7. Katmanı Nasıl Çalışır?". Cloudflare. Alındı 29 Ağu 2020.
- ^ "Yazılım Güvenlik Duvarları: Straw'tan Yapıldı mı? Bölüm 1/2". Symantec.com. Symantec Connect Topluluğu. 2010-06-29. Alındı 2013-09-05.
- ^ "Korumalı alan (yazılım testi ve güvenlik) nedir? - WhatIs.com'dan tanım". Arama Güvenliği. Alındı 2020-11-15.
- ^ "Zorunlu Erişim Kontrolü (MAC) Çerçevesi". TrustedBSD. Alındı 2013-09-05.
Dış bağlantılar
- Web Uygulaması Güvenlik Duvarı, Açık Web Uygulama Güvenliği Projesi
- Web Uygulaması Güvenlik Duvarı Değerlendirme Kriterleri, itibaren Web Uygulama Güvenliği Konsorsiyumu
- Bulutlarda güvenlik: Bulut bilgi işlem güvenliğini sağlamak için Web uygulaması güvenlik duvarını 'buharlaştırma'