發佈時間:2007.06.25 15:52     來源:賽迪網    作者:賽迪網
product.ccidnet.com/art/6559/20070625/1124157_1.html

網絡防火牆在安全防護中,起到重要作用,但是我們,也應該看到它的不足之處。
如今,知識淵博的黑客,均能利用網絡防火牆開放的端口,巧妙躲過網絡防火牆的監測,直接針對目標應用程序。他們想出複雜的
攻擊方法,能夠繞過傳統網絡防火牆。據專家統計,目前70%的攻擊是發生在應用層,而不是網絡層。對於這類攻擊,傳統網絡防

火牆的防護效果,並不太理想。

  傳統的網絡防火牆,存在著以下不足之處:

  1、無法檢測加密的Web流量

        如果你正在部署一個光鍵的門戶網站,希望所有的網絡層和應用層的漏洞都被屏蔽在應用程序之外。這個需求,對於傳統的網絡防火牆而言,是個大問題。

        由於網絡防火牆對於加密的SSL流中的數據是不可見的,防火牆無法迅速截獲SSL數據流並對其解密,因此無法阻止應用程序的攻擊,甚至有些網絡防火牆,

              根本就不提供數據解密的功能。

  2、普通應用程序加密後,也能輕易躲過防火牆的檢測

         網絡防火牆無法看到的,不僅僅是SSL加密的數據。對於應用程序加密的數據,同樣也不可見。在如今大多數網絡防火牆中,依賴的是靜態的特徵庫,與入

              侵監 測系統(IDS,Intrusion Detect System)的原理類似。只有當應用層攻擊行為的特徵與防火牆中的數據庫中已有的特徵完全匹配時,防火牆才能識別

              和截獲攻擊數據。

        但如今,採用常見的編碼技術,就能夠地將惡意代碼和其他攻擊命令隱藏起來,轉換成某種形式,既能欺騙前端的網絡安全系統,又能夠在後台服務器中執行。

         這種加密後的攻擊代       碼,只要與防火牆規則庫中的規則不一樣,就能夠躲過網絡防火牆,成功避開特徵匹配。

  3、對於Web應用程序,防範能力不足

         網絡防火牆於1990年發明,而商用的Web服務器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網絡層TCP和IP地址,來設置與加強狀

               態訪問控制列表(ACLs,Access Control Lists)。在這一方面,網絡防火牆表現確實十分出色。

  近年來,實際應用過程中,HTTP是主要的傳輸協議。主流的平台供應商和大的應用程序供應商,均已轉移到基於Web的體系結構,安全防護的目標,不再只是重

        要的業務數據。網絡防火牆的防護範圍,發生了變化。

  對於常規的企業局域網的防範,通用的網絡防火牆仍佔有很高的市場份額,繼續發揮重要作用,但對於新近出現的上層協議,如XML和SOAP等應用的防範,網絡

        防火牆就顯得有些力不從心。

  由於體系結構的原因,即使是最先進的網絡防火牆,在防範Web應用程序時,由於無法全面控制網絡、應用程序和數據流,也無法截獲應用層的攻擊。由於對於

        整體的應用數據流,缺乏完整的、基於會話(Session)級別的監控能力,因此很難預防新的未知的攻擊。

  4、應用防護特性,只適用於簡單情況

  目前的數據中心服務器,時常會發生變動,比如:

      ★ 定期需要部署新的應用程序;

      ★ 經常需要增加或更新軟件模塊;

      ★ QA們經常會發現代碼中的bug,已部署的系統需要定期打補丁。

  在這樣動態複雜的環境中,安全專家們需要採用靈活的、粗粒度的方法,實施有效的防護策略。

      雖然一些先進的網絡防火牆供應商,提出了應用防護的特性,但只適用於簡單的環境中。細看就會發現,對於實際的企業應用來說,這些特徵存在著局限性。

        在多數情況下,彈性概念(proof-of-concept)的特徵無法應用於現實生活中的數據中心上。比如,有些防火牆供應商,曾經聲稱能夠阻止緩存溢出:當黑客在

        瀏覽器的URL中輸入太長數據,試圖使後台服務崩潰或使試圖非法訪問的時候,網絡防火牆能夠檢測並制止這種情況。 細看就會發現,這些供應商採用對80端

        口數據流中,針對URL長度進行控制的方法,來實現這個功能的。如果使用這個規則,將對所有的應用程序生效。如果一個程序或者是一個簡單的Web網頁,

        確實需要涉及到很長的URL時,就要屏蔽該規則。網絡防火牆的體系結構,決定了網絡防火牆是針對網絡端口和網絡層進行操作的,因此很難對應用層進行防

        護,除非是一些很簡單的應用程序。

  5、無法擴展帶深度檢測功能

  基於狀態檢測的網絡防火牆,如果希望只擴展深度檢測(deep inspection)功能,而沒有相應增加網絡性能,這是不行的。

  真正的針對所有網絡和應用程序流量的深度檢測功能,需要空前的處理能力,來完成大量的計算任務,包括以下幾個方面:

     ★ SSL加密/解密功能;

     ★ 完全的雙向有效負載檢測;

     ★ 確保所有合法流量的正常化;

     ★ 廣泛的協議性能;

  這些任務,在基於標準PC硬件上,是無法高效運行的,雖然一些網絡防火牆供應商採用的是基於ASIC的平台,但進一步研究,就能發現:舊的基於網絡的

        ASIC平台對於新的深度檢測功能是無法支持的。

  6、小結

   應用層受到攻擊的概率越來越大,而傳統網絡防火牆在這方面有存在著不足之處。對此,少數防火牆供應商也開始意識到應用層的威脅,在防火牆產品上增

        加了一 些彈性概念(Proof-Of-Concept)的特徵,試圖防範這些威脅。傳統的網絡防火牆對於應用安全的防範上效果不佳,對於上述列出的五大不足之 處,

        將來需要在網絡層和應用層加強防範。

責任編輯:周冬冬

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 ivan0914 的頭像
    ivan0914

    I'n Blog 之萬象真藏

    ivan0914 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄