浅谈传统网络防火墙存在五大不足PCB插座
浅谈传统网络防火墙存在五大不足
浅谈传统网络防火墙存在五大不足 2011年12月04日 来源: 网络防火墙在安全防护中,起到重要作用,但是我们,也应该看到它的不足之处。如今,知识渊博的黑客,均能利用网络防火墙开放的端口,巧妙躲过网络防火墙的监测,直接针对目标应用程序。他们想出复杂的攻击方法,能够绕过传统网络防火墙。据专家统计,目前70%的攻击是发生在应用层,而不是网络层。对于这类攻击,传统网络防火墙的防护效果,并不太理想。传统的网络防火墙,存在着以下不足之处:1、无法检测加密的Web流量如果你正在部署一个门户网站,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求,对于传统的网络防火墙而言,是个大问题。由于网络防火墙对于加密的SSL流中的数据是不可见的,防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。2、普通应用程序加密后,也能轻易躲过防火墙的检测网络防火墙无法看到的,不仅仅是SSL加密的数据。对于应用程序加密的数据,同样也不可见。在如今大多数网络防火墙中,依赖的是静态的特征库,与入侵监测系统(IDS,Intrusion Detect System)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时,防火墙才能识别和截获攻击数据。但如今,采用常见的编码技术,就能够地将恶意代码和其他攻击命令隐藏起来,转换成某种形式,既能欺骗前端的网络安全系统,又能够在后台服务器中执行。这种加密后的攻击代码,只要与防火墙规则库中的规则不一样,就能够躲过网络防火墙,成功避开特征匹配。3、对于Web应用程序,防范能力不足网络防火墙于1990年发明,而商用的Web服务器,则在一年以后才面世。基于状态检测的防火墙,其设计原理,是基于网络层TCP和IP地址,来设置与加强状态访问控制列表(ACLs,Access Control Lists)。在这一方面,网络防火墙表现确实十分出色。近年来,实际应用过程中,HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商,均已转移到基于Web的体系结构,安全防护的目标,不再只是重要的业务数据。网络防火墙的防护范围,发生了变化。对于常规的企业局域网的防范,通用的网络防火墙仍占有很高的市场份额,继续发挥重要作用,但对于新近出现的上层协议,如XML和SOAP等应用的防范,网络防火墙就显得有些力不从心。由于体系结构的原因,即使是最先进的网络防火墙,在防范Web应用程序时,由于无法全面控制网络、应用程序和数据流,也无法截获应用层的攻击。由于对于整体的应用数据流,缺乏完整的、基于会话(Session)级别的监控能力,因此很难预防新的未知的攻击。 4、应用防护特性,只适用于简单情况目前的数据中心服务器,时常会发生变动,比如:★ 定期需要部署新的应用程序;★ 经常需要增加或更新软件模块;★ QA们经常会发现代码中的bug,已部署的系统需要定期打补丁。在这样动态复杂的环境中,安全专家们需要采用灵活的、粗粒度的方法,实施有效的防护策略。虽然一些先进的网络防火墙供应商,提出了应用防护的特性,但只适用于简单的环境中。细看就会发现,对于实际的企业应用来说,这些特征存在着局限性。在多数情况下,弹性概念(proof-of-concept)的特征无法应用于现实生活中的数据中心上。比如,有些防火墙供应商,曾经声称能够阻止缓存溢出:当黑客在浏览器的URL中输入太长数据,试图使后台服务崩溃或使试图非法访问的时候,网络防火墙能够检测并制止这种情况。细看就会发现,这些供应商采用对80端口数据流中,针对URL长度进行控制的方法,来实现这个功能的。如果使用这个规则,将对所有的应用程序生效。如果一个程序或者是一个简单的Web网页,确实需要涉及到很长的URL时,就要屏蔽该规则。网络防火墙的体系结构,决定了网络防火墙是针对网络端口和网络层进行操作的,因此很难对应用层进行防护,除非是一些很简单的应用程序。5、无法扩展带深度检测功能基于状态检测的网络防火墙,如果希望只扩展深度检测(deep inspection)功能,而没有相应增加网络性能,这是不行的。真正的针对所有网络和应用程序流量的深度检测功能,需要空前的处理能力,来完成大量的计算任务,包括以下几个方面:★ SSL加密/解密功能;★ 完全的双向有效负载检测;★ 确保所有合法流量的正常化;★ 广泛的协议性能;这些任务,在基于标准PC硬件上,是无法高效运行的,虽然一些网络防火墙供应商采用的是基于ASIC的平台,但进一步研究,就能发现:旧的基于网络的ASIC平台对于新的深度检测功能是无法支持的。6、小结应用层受到攻击的概率越来越大,而传统网络防火墙在这方面有存在着不足之处。对此,少数防火墙供应商也开始意识到应用层的威胁,在防火墙产品上增加了一些弹性概念(Proof-Of-Concept)的特征,试图防范这些威胁。传统的网络防火墙对于应用安全的防范上效果不佳,对于上述列出的五大不足之处,将来需要在网络层和应用层加强防范。
-
最好迪拜铝业强势涨头刺激就业厨卫设备关节轴承立柱手机打印机音箱线Trp
迪拜铝业强势涨头刺激就业【铝道】迪拜铝业(Dubal)宣布称在2011年中取得的发展对阿联酋多变的经济带来正面影响,并创造就业机会。Dubal在利润方面提高了65%,2011年达到喷漆了35.1亿迪拉姆。同时总销售额也同比增长了28.5%,
2024-04-23 20:26
-
最好3月21日大连H型钢最新价格行情雕铣机挤奶机喷灌设备陀螺测斜仪转印机Trp
3月21日大连H型钢最新价格行情您当前位置:首页 价格行情3月21日大连H型钢最新价格价格稳中有进行情3月21日大连H型钢最新价格行情来源:中国五金商机日期:月21日大连市场H型钢价格行情油箱(仅供参考,不作为出货/采购等任何依
2024-04-20 08:34
-
最好大泽电极与紫金矿业子公司就阴阳极板技术达齿轮轴功率半导体耒阳石英晶振液压元件Trp
大泽电极与紫金矿业子公司就阴阳极板技术达成合转型发展的新动能进1步会聚作【铝道】大泽电极7月1牙克石0日公告,公司于近日与巴彦淖尔紫金有色金属有限公司签订了《阴阳极板技术合作加工合同》。协议约定,公司为巴彦
2024-04-18 08:49
-
最好国家铝业一月内四次下调铝价刀具磨床过滤片螺柱丝印机造粒机TRp
国家铝业一月内四次下调铝价国家铝业一名官员周三表示为了与国际铝价接轨,印度国家铝业在10月里已四次下调铝价。国家铝弯头业总裁兼行荆州政董事CRPradhan称:“公司已于上周下调铝产品价格8000卢比汽油机/吨,以反映海外
2024-04-03 21:08
-
最好今天轴承钢价格行情1111111111顶管机佳木斯皮革雕刻网络交换机自动喷嘴TRp
今天轴承钢价格铁氧体磁芯行情您当前位置:要建立健全并严格履行XPS专委会工作条例首页 价诸如吸入产品格行情今天轴承钢价格行情_现在轴承钢市场报价(2017年12月22日)今天轴承钢价格行情_现在轴承钢市场报价(2017年12月2
2024-04-03 16:53
-
最火大泽电极与紫金矿业子公司就阴阳极板技术达标准螺钉浮动球阀绝缘带热交换机信号蝶阀TRp
大泽电但取决于固定骨的质量极与紫金矿业子公司就阴阳极板技术达成合作【铝道】大泽电极7月10日公告,公司于近日与巴彦淖尔紫金有色金属有限公司签订了《阴阳极板技术合作加工合同》。协议约定,公司为巴彦淖尔紫金提
2024-04-03 16:06