【TechTarget中国原创】问 :为了适应使用HTTP(端口80)的应用程序越来越多的现象,防火墙技术必须要改变吗?
答:大部分情况下,是这样的。在过去的几年中,Web为基础的应用程序的增长速度令人难以置信。Web浏览器是现在最常用的应用程序用户界面,而大部分的浏览器应用通信程序都使用端口80。对于开放式通信系统(Open System Interconnection,OSI)的应用层,也就是第7层的攻击是对防火枪的一次真正的挑战,因为恶意代码“化装”成合法的客户需求和正常的应用数据。
传统的防火墙技术,比如,信息报过虑和状态检测,已经不再合适,因为他们不能区分恶意和非恶意需求和数据。多样性和流量也使传统防火墙更难对过滤器实行单纯的“允许/阻止”原则。 比如,某一个防火墙可能仅仅允许端口80上的HTTP流量,但是这样的限制条件也可能放过了类似合法HTTP要求的SQL注入攻击。间谍软件,同样也仍然依据外部服务器认证书,在端口80上运行信道。
防火墙厂商通过开发应用层防火墙来应对这些威胁。和传统防火墙相比,应用防火墙过虑设备提供更好的内容过虑功能。应用防火墙还可以检查信息包的有效载荷,并根据内容作出判断,允许或拒绝具体的应用程序要求和命令。防火墙的功能使得管理员在网络流量的粒控制方面有很大的权限。比如,管理员可以允许或拒绝来自某个用户的具体的引入远程命令。现在,很多的应用层防火墙允许创建过滤器,截取、分析或修改到达你网络的流量,使防火墙可以更好,跟简单地保护具体资产。
一个防火墙应该“学会”什么是,什么不是某个具体网络的正常流量,并据此改变行为。虽然,真正需要解决的问题,是把网络流量和前后连接起来.是不是有每周的电子新闻邮件带出的大量突然的带外邮件,或者由一个被攻击的机器发送垃圾邮件?是不是需要一份黑客采样的数据库的数据库表格,或者管理员进行的必要任务?为了解决这些问题,防火墙将需要和认证系统以及其他的周界防护进行进一步整合,为监视流量增加关联。
对抗应用层攻击总是需要不只一个防火墙,不管他们变得多么复杂。应用程序开发团队也要负责任,保证通过防火墙的流量在进入应用程序前经过了检测和清洗,而应用程序可能会遭到破坏。无论安装的是什么防火墙或周界防御工具,假定所有的数据来源都不可信任,这一点非常必要。还要谨记防火墙永远不能防止网络钓鱼和社会工程攻击。也就是说,比如对所有的信息安全所作的努力的案例中,最后一道防线是员工的安全意识。