传统网络防火墙的五大不足

2016-01-29 16:15 1 1 收藏

传统网络防火墙的五大不足,传统网络防火墙的五大不足

【 tulaoshi.com - 网络基础知识】

　　网络防火墙在安全防护中，起到重要作用，但是我们，也应该看到它的不足之处。

　　如今，知识渊博的黑客，均能利用网络防火墙开放的端口，巧妙躲过网络防火墙的监测，直接针对目标应用程序。他们想出复杂的攻击方法，能够绕过传统网络防火墙。据专家统计，目前70%的攻击是发生在应用层，而不是网络层。对于这类攻击，传统网络防火墙的防护效果，并不太理想。

　　传统的网络防火墙，存在着以下不足之处：

　　1、无法检测加密的Web流量

　　如果你正在部署一个光键的门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求，对于传统的网络防火墙而言，是个大问题。

　　由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。

　　2、普通应用程序加密后，也能轻易躲过防火墙的检测

　　网络防火墙无法看到的，不仅仅是SSL加密的数据。对于应用程序加密的数据，同样也不可见。在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统（IDS，Intrusion Detect System）的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。

　　但如今，采用常见的编码技术，就能够地将恶意代码和其他攻击命令隐藏起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器中执行。这种加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。

　　3、对于Web应用程序，防范能力不足

　　网络防火墙于1990年发明，而商用的Web服务器，则在一年以后才面世。基于状态检测的防火墙，其设计原理，是基于网络层TCP和IP地址，来设置与加强状态访问控制列表（ACLs，Access Control Lists）。在这一方面，网络防火墙表现确实十分出色。

　　近年来，实际应用过程中，HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商，均已转移到基于Web的体系结构，安全防护的目标，不再只是重要的业务数据。网络防火墙的防护范围，发生了变化。

　　对于常规的企业局域网的防范，通用的网络防火墙仍占有很高的市场份额，继续发挥重要作用，但对于新近出现的上层协议，如XML和SOAP等应用的防范，网络防火墙就显得有些力不从心。

　　由于体系结构的原因，即使是最先进的网络防火墙，在防范Web应用程序时，由于无法全面控制网络、应用程序和数据流，也无法截获应用层的攻击。由于对于整体的应用数据流，缺乏完整的、基于会话（Session）级别的监控能力，因此很难预防新的未知的攻击。

　　4、应用防护特性，只适用于简单情况

　　目前的数据中心服务器，时常会发生变动，比如：

　　★ 定期需要部署新的应用程序；
　　★ 经常需要增加或更新软件模块；
　　★ QA们经常会发现代码中的bug，已部署的系统需要定期打补丁。

　　在这样动态复杂的环境中，安全专家们需要采用灵活的、粗粒度的方法，实施有效的防护策略。

　　虽然一些先进的网络防火墙供应商，提出了应用防护的特性，但只适用于简单的环境中。细看就会发现，对于实际的企业应用来说，这些特征存在着局限性。在多数情况下，弹性概念（proof-of-concept）的特征无法应用于现实生活中的数据中心上。

　　比如，有些防火墙供应商，曾经声称能够阻止缓存溢出：当黑客在浏览器的URL中输入太长数据，试图使后台服务崩溃或使试图非法访问的时候，网络防火墙能够检测并制止这种情况。

　　细看就会发现，这些供应商采用对80端口数据流中，针对URL长度进行控制的方法，来实现这个功能的。

　　如果使用这个规则，将对所有的应用程序生效。如果一个程序或者是一个简单的Web网页，确实需要涉及到很长的URL时，就要屏蔽该规则。

　　网络防火墙的体系结构，决定了网络防火墙是针对网络端口和网络层进行操作的，因此很难对应用层进行防护，除非是一些很简单的应用程序。

　　5、无法扩展带深度检测功能

　　基于状态检测的网络防火墙，如果希望只扩展深度检测（deep inspection）功能，而没有相应增加网络性能，这是不行的。

　　真正的针对所有网络和应用程序流量的深度检测功能，需要空前的处理能力，来完成大量的计算任务，包括以下几个方面：

　　★ SSL加密/解密功能；
　　★ 完全的双向有效负载检测；
　　★ 确保所有合法流量的正常化；
　　★ 广泛的协议性能；

　　这些任务，在基于标准PC硬件上，是无法高效运行的，虽然一些网络防火墙供应商采用的是基于ASIC的平台，但进一步研究，就能发现：旧的基于网络的ASIC平台对于新的深度检测功能是无法支持的。

来源:https://www.tulaoshi.com/n/20160129/1498064.html

上一篇：如何在SQL Server中恢复数据
下一篇：《超级英雄》人物技能升级与资源利用解析

看过《传统网络防火墙的五大不足》的人还看了以下文章更多>>

谈网络防火墙和安全问题(1)

Internet防火墙 Internet防火墙是这样的系统（或一组系统），它能增强机构内部网络的安全性。防火墙系统决定了那些内部服务可以被外界访问；外界的那些人可以访问内部的那些可以访问的服务，以及那些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往Internet的信息都必须经过防火墙，接受防火墙的检查（图1）。防火墙...

软件防火墙

随着网络的高速发整，现在使用防火墙的企业越来越多，产品也越来越多，但可能很多人还不了解防火墙，到底能干什么。下面我就简单的说说软件防火墙到底能干些什么吧。什么是软件防火墙？顾名思义，软件防火墙就是像office 等，是一个安装在PC上（当然，这里是指可以在PC上安装，但具体使用的时候最好用服务器），的一个软件，而且一般...

win7防火墙怎么关防火墙关闭命令执行步骤

win7防火墙怎么关防火墙关闭命令执行步骤按win+r组合键，在打开框中输入cmd，打开命令行窗口。输入命令：netsh firewall set opmode disable，按回车键。如果有安装了杀毒软件的话，可能会有安全提示。选择允许操作即可。运行命令，界面会出现下面的提示。查看netsh advfirewall帮助文档(点击...

谈网络防火墙和安全问题(3)

基本的防火墙设计在设计Internet防火墙时，网络管理员必须做出几个决定： · 防火墙的姿态（Stance） · 机构的整体安全政策 · 防火墙的经济费用 · 防火墙系统的组件或构件防火墙的姿态防火墙的姿态从根本上阐述了一个机构对安全的看法。Internet防火墙可能会扮演两种截然相反的姿态： ...

Linux防火墙设置

标签：服务器

Linux防火墙设置 Linux防火墙设置 (1)设置网卡IP地址为192.168.1.234，子网掩码为255.255.255.0，网关为192.168.1.1。 (2)设置DNS为61.177.7.1。 (3)Linux防火墙设置，禁用SELinux，启用防火墙，信任WWW、FTP、SSH、SMTP端口。 (4)设置防火墙，使能信任TCP协议的POP3端口。 (1)设置网卡IP地址为192...

查看更多精彩>>