浅析传统网络防火墙的五大缺陷
文/林山猫网络防火墙在安全防护中起着重要的作用,但也要看到它的不足。
如今,知识渊博的黑客可以利用网络防火墙开放的端口来规避网络防火墙的监视和直接目标应用程序。他们想出了一个复杂的攻击可以绕过传统的网络防火墙。据专家统计,目前70%的攻击发生在应用层,而不是网络层。这种攻击,传统的网络防火墙的防护效果不理想。
传统的网络防火墙存在以下缺陷:
1。无法检测加密的Web流量
如果您正在部署一个光密钥门户,希望网络层和应用层中的所有漏洞都被屏蔽掉,这对于传统的网络防火墙来说是一个大问题。
由于网络防火墙对加密的SSL流中的数据不可见,防火墙无法对SSL数据流进行拦截和解密,因此无法防止应用程序的攻击,甚至有些网络防火墙根本不提供数据解密功能。
2。普通应用程序经过加密后,也很容易躲过防火墙的检测。
网络防火墙无法看到的不仅仅是SSL加密的数据,加密应用程序的数据是不可见的。在今天大多数的网络防火墙,它是一个静态的特征库,类似于IDS(入侵检测系统)的原理。防火墙可以识别和拦截攻击数据只有当的应用层攻击的特点是在现有的防火墙特征完全匹配。
但如今,与常见的编码技术,我们可以隐藏恶意代码等攻击的命令,并把它们转换成某种形式,既能欺骗的前端系统,而且执行的背景。这种加密的攻击代码,只要不是在防火墙规则库的规则一样,可以脱离网络防火墙,成功地避免了特征匹配。
三.对于Web应用程序,防范它的能力是不够的。
网络防火墙是在1990发明的,而商业网站出来一年后。基于状态检测的防火墙的设计原则是建立和提高基于网络层的TCP和IP地址的ACL访问控制列表。在这方面,对网络防火墙的性能非常好。
近年来,HTTP是实际应用过程中的主要传输协议,主流的平台提供商和大型应用提供商已经转移到基于Web的体系结构,安全防护的目标不再仅仅是重要的业务数据,网络防火墙的保护范围也发生了变化。
对于常规局域网的防范,网络防火墙一般仍占有很高的市场份额,继续发挥着重要作用,但对于最近出现的上层协议,如XML和SOAP应用等的防范,网络防火墙有一定的局限性。
由于其结构的原因,即使是最先进的网络防火墙不能阻止应用层攻击,因为它无法控制的网络,在防止Web应用程序的过程流的应用程序和数据,由于缺乏完整的会话(session)对整个应用程序的数据流水平的监测能力,它很难阻止新的和未知的攻击。
4。仅用于简单情况的应用程序保护功能
当前的数据中心经常发生变化,例如:
我经常需要部署新的应用程序;
您经常需要添加或更新模块;
QA经常出现在bug代码中,系统已经部署到常规补丁程序中。
在这样一个动态和复杂的环境中,安全专家需要采取灵活、粗粒度的方法来实施有效的保护策略。
虽然一些先进的网络防火墙供应商提出申请保护的特点,它们只适用于简单的环境中,人们会发现这些特征对企业实际应用的局限性,在大多数情况下,对证据的概念特征无法应用于现实生活中的数据中心。
例如,一些防火墙供应商曾经声称能够防止缓存溢出:当黑客在URL中输入过长的数据时,试图使后台服务崩溃或试图非法访问,网络防火墙可以检测并停止这种情况。
可以看出,这些供应商使用了控制80端口数据流中URL长度的方法来实现此功能。
如果使用此规则,所有应用程序都将生效。如果一个程序或一个简单的Web页面确实需要连接到一个长URL中,则该规则是屏蔽的。
网络防火墙的体系结构决定了网络防火墙是为网络端口和网络层运行的,因此,除非有一些非常简单的应用程序,否则很难保护应用层。
5。无法扩展深度检测功能
基于网络防火墙的状态检测,如果要在不提高网络性能的前提下扩展深度检测功能,这是不可接受的。
对于所有网络和应用程序流量来说,真正的深度检测功能需要前所未有的处理能力来完成大量计算任务,包括以下方面。
SSL加密/解密功能;
*完全双向载荷检测;
这保证了所有合法的流量正常化;
表现非常广泛的协议;
这些任务基于PC机的标准,效率不高,虽然一些网络防火墙厂商使用基于ASIC的平台,但可以进一步研究:基于ASIC平台的旧网络是支持新的深度检测功能。
6、总结
对应用层攻击的概率越来越大,而传统的网络防火墙在这方面有一些不足。为此,少量的防火墙供应商也开始意识到应用层的威胁,并增加了一些弹性的概念(概念验证)功能的防火墙产品,试图防止这些威胁。传统的网络防火墙的应用安全防护是有效的。针对以上五个缺点,我们需要在网络层和应用层加强防范。