淺析傳統(tǒng)防火墻存在的五大不足之處

　　如今，知識(shí)淵博的黑客，均能利用網(wǎng)絡(luò)防火墻開放的端口，巧妙躲過網(wǎng)絡(luò)防火墻的監(jiān)測(cè)，直接針對(duì)目標(biāo)應(yīng)用程序。他們想出復(fù)雜的攻擊方法，能夠繞過傳統(tǒng)網(wǎng)絡(luò)防火墻。據(jù)專家統(tǒng)計(jì)，目前70%的攻擊是發(fā)生在應(yīng)用層，而不是網(wǎng)絡(luò)層。對(duì)于這類攻擊，傳統(tǒng)網(wǎng)絡(luò)防火墻的防護(hù)效果，并不太理想。

　　傳統(tǒng)的網(wǎng)絡(luò)防火墻，存在著以下不足之處:

　　1、無法檢測(cè)加密的Web流量

　　如果你正在部署一個(gè)門戶網(wǎng)站，希望所有的網(wǎng)絡(luò)層和應(yīng)用層的漏洞都被屏蔽在應(yīng)用程序之外。這個(gè)需求，對(duì)于傳統(tǒng)的網(wǎng)絡(luò)防火墻而言，是個(gè)大問題。

　　由于網(wǎng)絡(luò)防火墻對(duì)于加密的SSL流中的數(shù)據(jù)是不可見的，防火墻無法迅速截獲SSL數(shù)據(jù)流并對(duì)其解密，因此無法阻止應(yīng)用程序的攻擊，甚至有些網(wǎng)絡(luò)防火墻，根本就不提供數(shù)據(jù)解密的功能。

　　2、普通應(yīng)用程序加密后，也能輕易躲過防火墻的檢測(cè)

　　網(wǎng)絡(luò)防火墻無法看到的，不僅僅是SSL加密的數(shù)據(jù)。對(duì)于應(yīng)用程序加密的數(shù)據(jù)，同樣也不可見。在如今大多數(shù)網(wǎng)絡(luò)防火墻中，依賴的是靜態(tài)的特征庫，與入侵監(jiān)測(cè)系統(tǒng)(IDS，Intrusion Detect System)的原理類似。只有當(dāng)應(yīng)用層攻擊行為的特征與防火墻中的數(shù)據(jù)庫中已有的特征完全匹配時(shí)，防火墻才能識(shí)別和截獲攻擊數(shù)據(jù)。

　　但如今，采用常見的編碼技術(shù)，就能夠地將惡意代碼和其他攻擊命令隱藏起來，轉(zhuǎn)換成某種形式，既能欺騙前端的網(wǎng)絡(luò)安全系統(tǒng)，又能夠在后臺(tái)服務(wù)器中執(zhí)行。這種加密后的攻擊代碼，只要與防火墻規(guī)則庫中的規(guī)則不一樣，就能夠躲過網(wǎng)絡(luò)防火墻，成功避開特征匹配。

　　3、對(duì)于Web應(yīng)用程序，防范能力不足

　　網(wǎng)絡(luò)防火墻于1990年發(fā)明，而商用的Web服務(wù)器，則在一年以后才面世。基于狀態(tài)檢測(cè)的防火墻，其設(shè)計(jì)原理，是基于網(wǎng)絡(luò)層TCP和IP地址，來設(shè)置與加強(qiáng)狀態(tài)訪問控制列表(ACLs，Access Control Lists)。在這一方面，網(wǎng)絡(luò)防火墻表現(xiàn)確實(shí)十分出色。

　　近年來，實(shí)際應(yīng)用過程中，HTTP是主要的傳輸協(xié)議。主流的平臺(tái)供應(yīng)商和大的應(yīng)用程序供應(yīng)商，均已轉(zhuǎn)移到基于Web的體系結(jié)構(gòu)，安全防護(hù)的目標(biāo)，不再只是重要的業(yè)務(wù)數(shù)據(jù)。網(wǎng)絡(luò)防火墻的防護(hù)范圍，發(fā)生了變化。

　　對(duì)于常規(guī)的企業(yè)局域網(wǎng)的防范，通用的網(wǎng)絡(luò)防火墻仍占有很高的市場(chǎng)份額，繼續(xù)發(fā)揮重要作用，但對(duì)于新近出現(xiàn)的上層協(xié)議，如XML和SOAP等應(yīng)用的防范，網(wǎng)絡(luò)防火墻就顯得有些力不從心。

　　由于體系結(jié)構(gòu)的原因，即使是最先進(jìn)的網(wǎng)絡(luò)防火墻，在防范Web應(yīng)用程序時(shí)，由于無法全面控制網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)流，也無法截獲應(yīng)用層的攻擊。由于對(duì)于整體的應(yīng)用數(shù)據(jù)流，缺乏完整的、基于會(huì)話(Session)級(jí)別的監(jiān)控能力，因此很難預(yù)防新的未知的攻擊。

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]