守護者也會有漏洞  防火牆不是萬能的

來源:互聯網
上載者:User

  單憑防火牆再也不足以保護網上資產。如今,駭客及其攻擊策略是越來越精明、越來越危險。當前的一大威脅就是應用程式層攻擊,這類攻擊可以偷偷潛入防火牆、直至潛入Web應用。沒錯,這類攻擊有不少喜歡把寶貴的客戶資料作為下手目標。那麼,為什麼普通防火牆阻止不了這類攻擊呢?因為這類攻擊偽裝成正常流量,沒有特別大的資料包,地址和內容也沒有可疑的不相配,所以不會觸發警報。最讓人害怕的一個例子就是SQL指令植入式攻擊(SQL injection)。在這種攻擊中,駭客利用你自己的其中一張HTML表單,未經授權就查詢資料庫。

  另一種威脅就是命令執行。只要Web應用把命令發送到外殼程式,狡猾的駭客就可以在伺服器上隨意執行命令。另一些攻擊比較簡單。譬如說,HTML注釋裡面往往含有敏感資訊,包括不謹慎的編程人員留下的登入資訊。於是,針對應用程式層的攻擊手段,從篡改coOKIes到更改HTML表單裡面的隱藏欄位,完全取決於駭客的想象力。不過好訊息是,大多數這類攻擊是完全可以阻止的。 如果結合使用,兩種互為補充的方案可以提供穩固防線。首先,使用應用掃描器徹底掃描你的Web應用,尋找漏洞。然後,使用Web Application Firewall阻止不法分子闖入應用掃描器基本上可以對你的伺服器發動一系列類比攻擊,然後彙報結果。KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在詳細列出缺陷、建議補救方法方面的功能都相當全面。AppScan Audit尤其值得關注,因為這款產品具有事後檢查功能,可以協助編程人員在編製代碼時就查出漏洞。不過,這些工具包沒有一款比得上安全專業人士的全面審查。一旦你設法堵住了漏洞,接下來就是部署Web Application Firewall。這類防火牆的工作方式很有意思:弄清楚進出應用的正常流量的樣子,然後查出不正常流量。為此,Web Application Firewall必須比普通防火牆更深層地檢查資料包。heck int在這方面最出名,不過KaVaDo、NetContinuum、Sanctum和Teros等其它廠商的名氣相對要小。這類防火牆有的採用軟體,有的採用硬體,還有一些則兼而有之。不過別誤以為這類防火牆是隨插即用的,即便採用硬體的也不能。與入侵偵測系統一樣,你也要認真調整Web Application Firewall,以減少誤判,又不讓攻擊潛入進來。

  由於垃圾郵件以及越來越狡猾的攻擊,如果您以為安裝防火牆就萬事大吉,高枕無憂的話,您就應該好好想想上面所說您該如何應對。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。