聊城信息港
军事
当前位置:首页 > 军事

淺析傳統網絡防火墻的五大不足

发布时间:2019-05-02 02:52:11 编辑:笔名

絡防火墻在安全防護中,起到重要作用,但是我們,也應該看到它的不足之處。

如今,知识渊博的黑客,均能利用络防火墙开放的端口,巧妙躲过络防火墙的监测,直接针对目标应用程序。他们想出复杂的攻击方法,能够绕过传统络防火墙。据专家统计,目前70%的攻击是发生在应用层,而不是络层。对这类攻击,传统络防火墙的防护效果,并不太理想。

传统的络防火墙,存在着以下不足之处:

1、无法检测加密的Web流量

如果你正在部署一个光键的门户站,希望所有的络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求,对于传统的络防火墙而言,是个大问题。

由于络防火墙对于加密的SSL流中的数据是不可见的,防火墙没法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些络防火墙,根本就不提供数据解密的功能。

2、普通应用程序加密后,也能轻易躲过防火墙的检测

络防火墙无法看到的,不但仅是SSL加密的数据。对应用程序加密的数据,同样也不可见。在如今大多数络防火墙中,依赖的是静态的特征库,与入侵监测系统(IDS,Intrusion Detect System)的原理类似。只有当应用层攻击行为的特点与防火墙中的数据库中已有的特点完全匹配时,防火墙才能辨认和截获攻击数据。

但如今,采用常见的编码技术,就能够地将恶意代码和其他攻击命令隐藏起来,转换成某种形式,既能欺骗前端的络安全系统,又能够在后台服务器中履行。这类加密后的攻击代码,只要与防火墙规则库中的规则不一样,就能够躲过络防火墙,成功避开特点匹配。

3、对于Web应用程序,防范能力不足

络防火墙于1990年发明,而商用的Web服务器,则在一年以后才面世。基于状态检测的防火墙,其设计原理,是基于络层TCP和IP地址,来设置与加强状态访问控制列表(ACLs,Access Control Lists)。在这一方面,络防火墙表现确切十分出色。

近年来,实际应用过程中,HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商,均已转移到基于Web的体系结构,安全防护的目标,不再只是重要的业务数据。络防火墙的防护范围,产生了变化。

对于常规的企业局域的防范,通用的络防火墙仍占有很高的市场份额,继续发挥重要作用,但对于新近出现的上层协议,如XML和SOAP等运用的防范,络防火墙就显得有些力不从心。

由于体系结构的缘由,即便是的络防火墙,在防范Web应用程序时,由于无法全面控制络、应用程序和数据流,也无法截获应用层的攻击。由于对于整体的应用数据流,缺乏完整的、基于会话(Session)级别的监控能力,因此很难预防新的未知的攻击。

4、应用防护特性,只适用于简单情况

目前的数据中心服务器,时常会产生变动,比如:

★ 定期需要部署新的应用程序;

★ 经常需要增加或更新软件模块;

★ QA们经常会发现代码中的bug,已部署的系统需要定期打补丁。

在这样动态复杂的环境中,安全专家们需要采用灵活的、粗粒度的方法,实行有效的防护策略。

虽然一些先进的络防火墙供应商,提出了应用防护的特性,但只适用于简单的环境中。细看就会发现,对于实际的企业应用来说,这些特点存在着局限性。在多数情况下,弹性概念(proof-of-concept)的特征无法应用于现实生活中的数据中心上。

比如,有些防火墙供应商,曾声称能够阻止缓存溢出:当黑客在浏览器的URL中输入太长数据,试图使后台服务崩溃或使试图非法访问的时候,络防火墙能够检测并制止这种情况。

细看就会发现,这些供应商采用对80端口数据流中,针对URL长度进行控制的方法,来实现这个功能的。

如果使用这个规则,将对所有的应用程序生效。如果一个程序或者是一个简单的Web页,确实需要涉及到很长的URL时,就要屏蔽该规则。

络防火墙的体系结构,决定了络防火墙是针对络端口和络层进行操作的,因此很难对应用层进行防护,除非是一些很简单的应用程序。

5、没法扩大带深度检测功能

基于状态检测的络防火墙,如果希望只扩大深度检测(deep inspection)功能,而没有相应增加络性能,这是不行的。

真正的针对所有络和应用程序流量的深度检测功能,需要空前的处理能力,来完成大量的计算任务,包括以下几个方面:

★ SSL加密/解密功能;

★ 完全的双向有效负载检测;

★ 确保所有合法流量的正常化;

★ 广泛的协议性能;

这些任务,在基于标准PC硬件上,是没法高效运行的,虽然一些络防火墙供应商采取的是基于ASIC的平台,但进一步研究,就能发现:旧的基于络的ASIC平台对于新的深度检测功能是无法支持的。

6、小结

运用层受到攻击的几率越来越大,而传统络防火墙在这方面有存在着不足之处。对此,少数防火墙供应商也开始意想到应用层的威胁,在防火墙产品上增加了一些弹性概念(Proof-Of-Concept)的特征,试图防范这些威胁。传统的络防火墙对于应用安全的防范上效果不佳,对于上述列出的五大不足之处,将来需要在络层和应用层加强防范。

南京有银行存款年利率8%名额有限难抢
外国专家机器人15年内将比人类更聪明
黄磊爱女多多写全英文剧本网友赞学霸图