淺析傳統防火牆存在的五大不足之處(轉)
如今,知識淵博的駭客,均能利用網路防火牆開放的埠,巧妙躲過網路防火牆的監測,直接針對目標應用程式。他們想出複雜的攻擊方法,能夠繞過傳統網路防火牆。據專家統計,目前70%的攻擊是發生在應用層,而不是網路層。對於這類攻擊,傳統網路防火牆的防護效果,並不太理想。
傳統的網路防火牆,存在著以下不足之處:
1、無法檢測加密的Web流量
如果你正在部署一個入口網站,希望所有的網路層和應用層的漏洞都被遮蔽在應用程式之外。這個需求,對於傳統的網路防火牆而言,是個大問題。
由於網路防火牆對於加密的SSL流中的資料是不可見的,防火牆無法迅速截獲SSL資料流並對其解密,因此無法阻止應用程式的攻擊,甚至有些網路防火牆,根本就不提供資料解密的功能。
2、普通應用程式加密後,也能輕易躲過防火牆的檢測
網路防火牆無法看到的,不僅僅是SSL加密的資料。對於應用程式加密的資料,同樣也不可見。在如今大多數網路防火牆中,依賴的是靜態的特徵庫,與入侵監測系統(IDS,Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全匹配時,防火牆才能識別和截獲攻擊資料。
但如今,採用常見的編碼技術,就能夠地將惡意程式碼和其他攻擊命令隱藏起來,轉換成某種形式,既能欺騙前端的網路安全系統,又能夠在後臺伺服器中執行。這種加密後的攻擊程式碼,只要與防火牆規則庫中的規則不一樣,就能夠躲過網路防火牆,成功避開特徵匹配。
3、對於Web應用程式,防範能力不足
網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設定與加強狀態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。
近年來,實際應用過程中,HTTP是主要的傳輸協議。主流的平臺供應商和大的應用程式供應商,均已轉移到基於Web的體系結構,安全防護的目標,不再只是重要的業務資料。網路防火牆的防護範圍,發生了變化。
對於常規的企業區域網的防範,通用的網路防火牆仍佔有很高的市場份額,繼續發揮重要作用,但對於新近出現的上層協議,如XML和SOAP等應用的防範,網路防火牆就顯得有些力不從心。
由於體系結構的原因,即使是最先進的網路防火牆,在防範Web應用程式時,由於無法全面控制網路、應用程式和資料流,也無法截獲應用層的攻擊。由於對於整體的應用資料流,缺乏完整的、基於會話(Session)級別的監控能力,因此很難預防新的未知的攻擊。
4、應用防護特性,只適用於簡單情況
目前的資料中心伺服器,時常會發生變動,比如:
★ 定期需要部署新的應用程式;
★ 經常需要增加或更新軟體模組;
★ QA們經常會發現程式碼中的bug,已部署的系統需要定期打補丁。
在這樣動態複雜的環境中,安全專家們需要採用靈活的、粗粒度的方法,實施有效的防護策略。
雖然一些先進的網路防火牆供應商,提出了應用防護的特性,但只適用於簡單的環境中。細看就會發現,對於實際的企業應用來說,這些特徵存在著侷限性。在多數情況下,彈性概念(proof-of-concept)的特徵無法應用於現實生活中的資料中心上。
比如,有些防火牆供應商,曾經聲稱能夠阻止快取溢位:當駭客在瀏覽器的URL中輸入太長資料,試圖使後臺服務崩潰或使試圖非法訪問的時候,網路防火牆能夠檢測並制止這種情況。
細看就會發現,這些供應商採用對80埠資料流中,針對URL長度進行控制的方法,來實現這個功能的。
如果使用這個規則,將對所有的應用程式生效。如果一個程式或者是一個簡單的Web網頁,確實需要涉及到很長的URL時,就要遮蔽該規則。
網路防火牆的體系結構,決定了網路防火牆是針對網路埠和網路層進行操作的,因此很難對應用層進行防護,除非是一些很簡單的應用程式。
5、無法擴充套件帶深度檢測功能
基於狀態檢測的網路防火牆,如果希望只擴充套件深度檢測(deep inspection)功能,而沒有相應增加網路效能,這是不行的。
真正的針對所有網路和應用程式流量的深度檢測功能,需要空前的處理能力,來完成大量的計算任務,包括以下幾個方面:
★ SSL加密/解密功能;
★ 完全的雙向有效負載檢測;
★ 確保所有合法流量的正常化;
★ 廣泛的協議效能;
這些任務,在基於標準PC硬體上,是無法高效執行的,雖然一些網路防火牆供應商採用的是基於ASIC的平臺,但進一步研究,就能發現:舊的基於網路的ASIC平臺對於新的深度檢測功能是無法支援的。
小結:應用層受到攻擊的機率越來越大,而傳統網路防火牆在這方面有存在著不足之處。對此,少數防火牆供應商也開始意識到應用層的威脅,在防火牆產品上增加了一些彈性概念(Proof-Of-Concept)的特徵,試圖防範這些威脅。傳統的網路防火牆對於應用安全的防範上效果不佳,對於上述列出的五大不足之處,將來需要在網路層和應用層加強防範。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10752019/viewspace-955459/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 淺析Windows防火牆的缺陷(轉)Windows防火牆
- WAb防火牆與傳統防火牆防火牆
- 淺析防火牆與路由器的安全配置防火牆路由器
- 深入淺出談防火牆(轉)防火牆
- 穿透防火牆的資料傳輸方法(轉)穿透防火牆
- 全面分析防火牆及防火牆的滲透(轉)防火牆
- 簡易防火牆建置與流量統計之四(轉)防火牆
- UTM與傳統防火牆有什麼本質區別(轉)防火牆
- XP系統故障 都是“防火牆”惹的禍(轉)防火牆
- 淺談下一代防火牆與Web應用防火牆的區別防火牆Web
- Linux防火牆之IPtables概念與用法(轉)Linux防火牆
- 淺析TPS遊戲處理掩蔽機制所存在的問題遊戲
- 選用單防火牆DMZ還是雙防火牆DMZ(轉)防火牆
- 淺談Linux的五大便捷之處Linux
- 防火牆的虛擬系統防火牆
- 黑科技微軟HoloLens五大不足之處微軟
- 工作小記之防火牆防火牆
- 解讀分散式防火牆之――技術篇(轉)分散式防火牆
- Juniper防火牆簡介(轉)防火牆
- 防火牆介紹(1)(轉)防火牆
- 防火牆介紹(2)(轉)防火牆
- 動態 iptables 防火牆(轉)防火牆
- NAT iptables防火牆(script)(轉)防火牆
- 防火牆埠(下)(轉載)防火牆
- 防火牆埠(中)(轉載)防火牆
- 防火牆埠(上)(轉載)防火牆
- 開源的firewall(防火牆) SINUS (轉)防火牆
- 八種防火牆產品評測(企業級防火牆)(轉)防火牆
- 使用centos7的wall防火牆可能存在失效問題CentOS防火牆
- 簡易防火牆建置與流量統計-前言 (轉)防火牆
- 5種方法逃過防火牆控制系統的研究(轉)防火牆
- ubuntu系統下的防火牆使用Ubuntu防火牆
- 防火牆軟體Netfilter之NAT技術(轉)防火牆Filter
- FreeBSD防火牆技術(轉)防火牆
- 動態iptables防火牆dynfw(轉)防火牆
- 輕輕鬆鬆穿透防火牆(轉)穿透防火牆
- 配置基於ADSL的防火牆(轉)防火牆
- 防火牆的併發連線數(轉)防火牆