网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)在安全防护中,起到重要作用,但是我们,也应该看到他的不足之处.如今,知识渊博的黑客,均能利用网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)开放的端口(Port),巧妙躲过网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)的监测,直接或者间接针对目标应用程序(Procedures)(Procedures).他们想出复杂的攻击方法,能够绕过传统网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍).据专家统计,目前70%的攻击是发生在应用层,而不能是不是网络层.对于这类攻击,传统网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)的防护效果(Effect),并不太理想.
传统的网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍),存在着以下不足之处:
1,根本没有办法检测加密的Web流量
如果您正在部署一个关键的门户网站,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序(Procedures)(Procedures)之外.这一个需求,对于传统的网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)而不能是言,是个大问题.
由于网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)对于加密的SSL流中的数据(Data)是不可见的,防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)根本没有办法迅速截获SSL数据(Data)流并对其解密,所以我们可以得出结论根本没有办法阻止应用程序(Procedures)(Procedures)的攻击,还超级有可能有一些网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍),根本就不提供数据(Data)解密的功能.
II.普通应用程序(Procedures)(Procedures)加密后,也能轻易躲过防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)的检测
网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)根本没有办法看到的,不仅仅是SSL加密的数据(Data).对于应用程序(Procedures)(Procedures)加密的数据(Data),同样也不可见.在如今大多数网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)中,依赖的是静态的特点库,与入侵监测操作操作系统(IDS,Intrusion Detect System)的原理类似.只有当应用层攻击行为的特点与防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)中的数据(Data)库中已有的特点完全匹配时,防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)才能识别和截获攻击数据(Data).
但如今,采用常见的编码技术,就可以够地将恶意代码和其他攻击系统命令隐藏(Hide)起来,转换成某种形式,既能欺骗前端的网络安全操作操作系统,又能够在后台服务器(Server)中执行.这种加密后的攻击代码,只要与防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)规则库中的规则不一样,就可以够躲过网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍),成功避开特点匹配.
III.对于Web应用程序(Procedures)(Procedures),防范能力不足
网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)于1990年发明,而不能是商用的Web服务器(Server),则在一年以后才面世.基于状态检测的防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍),其设计原理,是基于网络层TCP和IP地址,来设置与加强状态访问控制列表(ACLs,Access Control Lists).在这一方面,网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)表现确实十分出色.
近年来,实际应用过程当中,HTTP是主要的传输
协议.主流的平台供应商和大的应用程序(Procedures)(Procedures)供应商,均已转移到基于Web的体系结构,安全防护的目标,不再只是重要的业务数据(Data).网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)的防护范围,发生了变化.
对于常规的企业局域网的防范,通用的网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)仍占有很高的市场份额,继续发挥重要作用,但对于新近出现的上层
协议,如XML和SOAP等应用的防范,网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)就显得有一些力不从心.
由于体系结构的原因,即使是最先进的网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍),在防范Web应用程序(Procedures)(Procedures)时,由于根本没有办法全面控制网络,应用程序(Procedures)(Procedures)和数据(Data)流,也根本没有办法截获应用层的攻击.由于对于整体的应用数据(Data)流,缺乏完整的,基于会话(Session)级别的监控能力,所以我们可以得出结论很难预防和防止新的未知的攻击.
IV.应用防护特性,只适用于简单情况
目前的数据(Data)中心服务器(Server),时常会发生变动,譬如:
★ 定期需要部署新的应用程序(Procedures)(Procedures);
★ 经常需要增加或者是更新软件(soft)模块;
★ QA们经常会发现代码中的bug,已部署的操作操作系统需要定期打补丁.
在这样动态复杂的环境中,安全专家们需要采用灵活的,粗粒度的方法,实施有效的防护策略.
虽然一些先进的网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)供应商,提出了应用防护的特性,但只适用于简单的环境中.细看就会发现,对于实际的企业应用来说,这些特点存在着局限性.在多数情况下,弹性概念(proof-of-concept)的特点根本没有办法应用于现实生活(Life)中的数据(Data)中心上.
譬如,有一些防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)供应商,曾经声称能够阻止缓存溢出:当黑客在浏览器的URL中输入太长数据(Data),试图使后台服务崩溃或者是使试图非法访问的时候,网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)能够检测并制止这种情况.
细看就会发现,这些供应商采用对80端口(Port)数据(Data)流中,针对URL长度进行控制的方法,来实现这一个功能的.
如果使用这一个规则,将对所有的应用程序(Procedures)(Procedures)生效.如果一个程序(Procedures)(Procedures)或者是是一个简单的Web网页,确实需要涉及到很长的URL时,就要屏蔽该规则.
网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)的体系结构,决定了网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)是针对网络端口(Port)和网络层进行操作的,所以我们可以得出结论很难对应用层进行防护,除非是一些很简单的应用程序(Procedures)(Procedures).
V.根本没有办法扩展带深度检测功能
基于状态检测的网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍),如果希望只扩展深度检测(deep inspection)功能,而不能是没有相应增加网络性能,这是不行的.
真正的针对所有网络和应用程序(Procedures)(Procedures)流量的深度检测功能,需要空前的处理能力,来完成大量的计算任务,包括以下几个方面:
★ SSL加密/解密功能;
★ 完全的双向有效负载检测;
★ 确保所有合法流量的正常化;
★ 广泛的
协议性能;
这些任务,在基于标准PC硬件上,是根本没有办法高效运行的,虽然一些网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)供应商采用的是基于ASIC的平台,但进一步研究,就可以发现:旧的基于网络的ASIC平台对于新的深度检测功能是根本没有办法支持的.
VI.小结
应用层受到攻击的概率越来越大,而不能是传统网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)在这方面有存在着不足之处.对此,少数防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)供应商也开始意识到应用层的威胁,在防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)产品上增加了一些弹性概念(Proof-Of-Concept)的特点,试图防范这些威胁.传统的网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)对于应用安全的防范上效果(Effect)不佳,对于上述列出的五大不足之处,将来需要在网络层和应用层加强防范. -------
学习了,不错,呵呵 -------
学习一下,我以为最后会是个广告呢 -------
不知道有没有新型防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍) -------
让我读有一些专业了,不是很明白,但谢您提供 -------
这一个留给天天办公(DayOffice)的天天办公(DayOffice)的计算机高手们思考吧.. -------
好深奥,学习下 -------
不足肯定是有了,舍得投入就用硬件防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍),什么DDOS ARP攻击全部阻挡,条件不够那就用防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)软件(soft),安全软件(soft),服务质量有的时候和软件(soft)价格是成正比的,我用的防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)是RX的,不经常开,有些时候用下. -------
良好的上网习惯很重要,我用WINDOWS自已带的防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)好几年了,虽然大家都说不安全,但也没出过事 -------
虽然看不大懂,不过这种好帖要顶~~~~
