I principali inconvenienti dei Web application firewall sono rappresentati dai costi e dagli impatti sulle prestazioni. Che costituiscono spesso un problema perché questi tool controllano tutto il traffico sia in entrata che in uscita a livello di applicazioni. Questo livello di controllo, che spesso consiste in un'approfondita ispezione dei pacchetti, esamina il reale contenuto di un pacchetto e fornisce delle funzionalità di filtro di gran lunga migliori rispetto ai più tradizionali firewall di filtro dei pacchetti.

Con i firewall che agiscono sul layer delle applicazioni, la decisione di autorizzare o negare il passaggio d'ogni pacchetto si basa sul suo contenuto. Permettono o rifiutano specifiche applicazioni, o specifiche funzionalità di un'applicazione, fornendo un più alto grado di controllo. I firewall possono anche effettuare direttamente l'autenticazione degli utenti. Ciò significa che, per esempio, possono permettere o negare uno specifico comando in entrata che proviene da un particolare utente.

I dati delle ispezioni approfondite dei pacchetti forniscono anche informazioni preziose sui log, utili per i problemi di sicurezza e l'implementazione di policy.

Comunque, quando il firewall legge e interpreta ogni pacchetto, il tool utilizza risorse e potenza di calcolo (CPU). Il processo d'ispezione richiede, quindi, più tempo rispetto ai tradizionali firewall di filtro dei pacchetti e può rallentare la rete.

Un altro svantaggio degli application firewall è che ogni protocollo, come HTTP, SMTP, ecc., richiede la propria applicazione proxy e potrebbe essere limitato o lento il supporto a nuove applicazioni o protocolli di rete. Sebbene la maggior parte dei produttori di firewall forniscano generici agenti proxy per supportare protocolli o applicazioni di rete non definite, gli agenti tendono semplicemente a permettere al traffico di passare attraverso il firewall, annullando molte delle ragioni principali per cui ha senso avere un application firewall.

Inoltre, il fatto che questi firewall siano sempre più sofisticati li rende generalmente più costosi, soprattutto se confrontati ai firewall di filtro dei pacchetti, che hanno un impatto molto basso sulle prestazioni della rete e sono indipendenti dalle applicazioni. Infine, come per ogni altro nuovo dispositivo, gli application firewall hanno esigenze d'installazione, configurazione e training che devono essere tenute in considerazione.

E' facile capire la ragione per cui molti esitano nell'impiegare un firewall al livello delle applicazioni, in particolar modo se ci sono restrizioni di tempo e di budget. Comunque, per coloro che utilizzano applicazioni Web di livello mission critical, l'ulteriore protezione di un firewall sul layer delle applicazioni è ormai essenziale. Suggeririamo, dunque, di definire esattamente quali sono le esigenze che devono essere soddisfatte dal firewall, poiché ciò determina le caratteristiche richieste.

Per orientarvi nella scelta di un firewall, rispondete alle seguenti domande:

• Cosa deve fare il firewall?
• Quali servizi in più sarebbero realmente utili ed efficaci?
• Come potrebbero inserirsi nella rete esistente? 
• In cosa potrebbero coinvolgere i servizi e gli utenti attuali?

Stampa Invia un commento Invia questo articolo