防火墙技术必须改变吗?

日期: 2008-04-10 作者:Michael Cobb翻译:Tina Guo 来源:TechTarget中国 英文

问 :为了适应使用HTTP(端口80)的应用程序越来越多的现象,防火墙技术必须要改变吗?   答:大部分情况下,是这样的。在过去的几年中,Web为基础的应用程序的增长速度令人难以置信。Web浏览器是现在最常用的应用程序用户界面,而大部分的浏览器应用通信程序都使用端口80。对于开放式通信系统(Open System Interconnection,OSI)的应用层,也就是第7层的攻击是对防火枪的一次真正的挑战,因为恶意代码“化装”成合法的客户需求和正常的应用数据。

  传统的防火墙技术,比如,信息报过虑和状态检测,已经不再合适,因为他们不能区分恶意和非恶意需求和数据。多样性和流量也使传统防火墙更……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问 :为了适应使用HTTP(端口80)的应用程序越来越多的现象,防火墙技术必须要改变吗?

  答:大部分情况下,是这样的。在过去的几年中,Web为基础的应用程序的增长速度令人难以置信。Web浏览器是现在最常用的应用程序用户界面,而大部分的浏览器应用通信程序都使用端口80。对于开放式通信系统(Open System Interconnection,OSI)的应用层,也就是第7层的攻击是对防火枪的一次真正的挑战,因为恶意代码“化装”成合法的客户需求和正常的应用数据。

  传统的防火墙技术,比如,信息报过虑和状态检测,已经不再合适,因为他们不能区分恶意和非恶意需求和数据。多样性和流量也使传统防火墙更难对过滤器实行单纯的“允许/阻止”原则。 比如,某一个防火墙可能仅仅允许端口80上的HTTP流量,但是这样的限制条件也可能放过了类似合法HTTP要求的SQL注入攻击。间谍软件,同样也仍然依据外部服务器认证书,在端口80上运行信道。

  防火墙厂商通过开发应用层防火墙来应对这些威胁。和传统防火墙相比,应用防火墙过虑设备提供更好的内容过虑功能。应用防火墙还可以检查信息包的有效载荷,并根据内容作出判断,允许或拒绝具体的应用程序要求和命令。防火墙的功能使得管理员在网络流量的粒控制方面有很大的权限。比如,管理员可以允许或拒绝来自某个用户的具体的引入远程命令。现在,很多的应用层防火墙允许创建过滤器,截取、分析或修改到达你网络的流量,使防火墙可以更好,跟简单地保护具体资产。

  一个防火墙应该“学会”什么是,什么不是某个具体网络的正常流量,并据此改变行为。虽然,真正需要解决的问题,是把网络流量和前后连接起来.是不是有每周的电子新闻邮件带出的大量突然的带外邮件,或者由一个被攻击的机器发送垃圾邮件?是不是需要一份黑客采样的数据库的数据库表格,或者管理员进行的必要任务?为了解决这些问题,防火墙将需要和认证系统以及其他的周界防护进行进一步整合,为监视流量增加关联。

  对抗应用层攻击总是需要不只一个防火墙,不管他们变得多么复杂。应用程序开发团队也要负责任,保证通过防火墙的流量在进入应用程序前经过了检测和清洗,而应用程序可能会遭到破坏。无论安装的是什么防火墙或周界防御工具,假定所有的数据来源都不可信任,这一点非常必要。还要谨记防火墙永远不能防止网络钓鱼和社会工程攻击。也就是说,比如对所有的信息安全所作的努力的案例中,最后一道防线是员工的安全意识。

翻译

Tina Guo
Tina Guo

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 从HTTP迁移至HTTPS需要注意什么?

    HTTPS安全性更高,不过从原来的HTTP迁移至HTTPS的过程非常困难。那么,迁移过程中会碰到哪些挑战?企业又该如何解决?

  • 七步解决关键SSL安全问题及漏洞

    近年来,安全套接字层(SSL)技术已经有所改进,但同时也出现新的漏洞。那么如何解决关键SSL安全问题及漏洞呢?总共分七步……

  • 为什么单靠网络外围安全行不通?

    近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…