認識傳統網路防火牆不足之處

來源:互聯網
上載者:User

  網路防火牆在安全防護中,起到重要作用,但是我們,也應該看到它的不足之處。

  如今,知識淵博的駭客,均能利用網路防火牆開放的連接埠,巧妙躲過網路防火牆的監測,直接針對目標應用程式。他們想出複雜的

  攻擊方法,能夠繞過傳統網路防火牆。據專家統計,目前70%的攻擊是發生在應用程式層,而不是網路層。對於這類攻擊,傳統網路防火牆的防護效果,並不太理想。

  傳統的網路防火牆,存在著以下不足之處:

  1、無法檢測加密的Web流量

  如果你正在部署一個光鍵的門戶網站,希望所有的網路層和應用程式層的漏洞都被屏蔽在應用程式之外。這個需求,對於傳統的網路防火牆而言,是個大問題。

  由於網路防火牆對於加密的SSL流中的資料是不可見的,防火牆無法迅速截獲SSL資料流並對其解密,因此無法阻止應用程式的攻擊,甚至有些網路防火牆,根本就不提供資料解密的功能。

  2、普通應用程式加密後,也能輕易躲過防火牆的檢測

  網路防火牆無法看到的,不僅僅是SSL加密的資料。對於應用程式加密的資料,同樣也不可見。在如今大多數網路防火牆中,依賴的是靜態特徵庫,與入侵監測系統(IDS,Intrusion Detect System)的原理類似。只有當應用程式層攻擊行為的特徵與防火牆中的資料庫中已有的特徵完全符合時,防火牆才能識別和截獲攻擊資料。

  但如今,採用常見的編碼技術,就能夠地將惡意代碼和其他攻擊命令隱藏起來,轉換成某種形式,既能欺騙前端的網路安全系統,又能夠在後台伺服器中執行。這種加密後的攻擊代碼,只要與防火牆規則庫中的規則不一樣,就能夠躲過網路防火牆,成功避開特徵匹配。

  3、對於Web應用程式,防範能力不足

  網路防火牆於1990年發明,而商用的Web伺服器,則在一年以後才面世。基於狀態檢測的防火牆,其設計原理,是基於網路層TCP和IP地址,來設定與加強狀態存取控制清單(ACLs,Access Control Lists)。在這一方面,網路防火牆表現確實十分出色。



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。