私はCCSPの勉強をしており、私のトレーニング資料は「アプリケーション対応ファイアウォール」と「Webアプリケーションファイアウォール」の間の定義があまり明確ではありません。
トレーニング資料は次のように述べています:
初期の段階では、これらのデバイスはポートブロッキングに限定されていたため、インターフェイスを通過するパケットの内部を確認できませんでした。次に、ステートフルパケットインスペクションが登場しました。これにより、ファイアウォールが、ネットワーク内部から接続が開始されていない限り、インバウンドトラフィックが入るのを防ぐことができました。
今日のアプリケーション対応ファイアウォールは、数年前の以前のバージョンよりもはるかに優れています。しかし、攻撃は攻撃者とその賢明な方法で激化し、それがWebアプリケーションファイアウォール(WAF)につながります。
次に、WAFがどのように機能するか(OSIモデルのレイヤー7で)について説明しますが、「アプリケーション対応ファイアウォール」に関する情報はありません。
ここの違いは何ですか? 「アプリケーション対応」のファイアウォールは、ユーザーワークステーションにインストールされているソフトウェアファイアウォールと同じですか。
アプリケーション対応ファイアウォールは、ポートだけでなく、特定のアプリケーションが特定のポートをリッスンすることも理解します。それらは確かにホストベース(ユーザーワークステーションまたはサーバーにインストール)であり、正規のアプリケーションが通常使用するポートでマルウェアがリッスンするのを防ぎます。
たとえば、IISを実行していて、Webトラフィックを許可する必要があるため、従来のファイアウォールでポート80を開く場合があります。マルウェアがIISを強制終了し、代わりにポート80でリッスンを開始した場合、従来のネットワークファイアウォールは、指定されたトラフィックを許可するというルールがあることを知っているため、トラフィックを問題なく配信します。ポート80の場合。
一方、アプリケーション対応ファイアウォールには、IISへのトラフィックを明確に許可するルールがあり、マルウェアがシャットダウンすると、ファイアウォールはIISのポートへのトラフィックをブロックし始めます監視し、そのトラフィックを許可する追加のルールがない場合、マルウェアはデフォルトで効果的にブロックされます。
インバウンドの例は本物ですが、少し工夫されています。これが特に役立つのは、非常にロックダウンされたホストと、アウトバウンドとの通信を許可する必要がある限られたアプリケーションセットがある場合です。これで、ファイアウォールを通過するオープンポートを介したアウトバウンドトラフィックを許可する必要がなくなりました。アプリケーション固有のルールを設定するだけで、アウトバウンドと通信する必要のあるアプリケーションのセットのみを許可できます。これが正しく行われると、マルウェアがコマンド&コントロールインフラストラクチャと通信したり、データを引き出したり、ネットワーク内での横方向の移動に使用したりする機能が大幅に制限される可能性があります。
一方、Webアプリケーションファイアウォールは、別の意味でアプリケーションに対応しています。これは、ネットワークベースのファイアウォールでありながら、HTTPトラフィックがどのように見えるかを具体的に理解しており、トラフィックを検査して適用できるという点です。 HTTPアプリケーションに到達する前に、潜在的に悪意のあるトラフィックを識別して停止するルール。したがって、WebサーバーアプリケーションがIIS、Apache、マルウェアのいずれであるかは問題ではありませんが、たとえば、一般的なSQLインジェクションパターンを含むインバウンドリクエストが見つかると、リクエストの転送を拒否できます。それ自体を保護するように設計されていない可能性がある攻撃からWebサーバーを保護します。