浅析传统网络防火墙的五大不足(2)

发表于:2007-06-23来源:作者:点击数: 标签:
浅析传统网络防火墙的五大不足 4、应用防护特性,只适用于简单情况 目前的数据中心 服务器 ,时常会发生变动,比如: ★ 定期需要部署新的应用程序; ★ 经常需要增加或更新软件模块; ★ QA们经常会发现代码中的 bug ,已部署的系统需要定期打补

   
  浅析传统网络防火墙的五大不足
  4、应用防护特性,只适用于简单情况

  目前的数据中心服务器,时常会发生变动,比如:

  ★ 定期需要部署新的应用程序;

  ★ 经常需要增加或更新软件模块;

  ★ QA们经常会发现代码中的bug,已部署的系统需要定期打补丁。

  在这样动态复杂的环境中,安全专家们需要采用灵活的、粗粒度的方法,实施有效的防护策略。

  虽然一些先进的网络防火墙供应商,提出了应用防护的特性,但只适用于简单的环境中。细看就会发现,对于实际的企业应用来说,这些特征存在着局限性。在多数情况下,弹性概念(proof-of-concept)的特征无法应用于现实生活中的数据中心上。

  比如,有些防火墙供应商,曾经声称能够阻止缓存溢出:当黑客在浏览器的URL中输入太长数据,试图使后台服务崩溃或使试图非法访问的时候,网络防火墙能够检测并制止这种情况。

  细看就会发现,这些供应商采用对80端口数据流中,针对URL长度进行控制的方法,来实现这个功能的。

  如果使用这个规则,将对所有的应用程序生效。如果一个程序或者是一个简单的Web网页,确实需要涉及到很长的URL时,就要屏蔽该规则。

  网络防火墙的体系结构,决定了网络防火墙是针对网络端口和网络层进行操作的,因此很难对应用层进行防护,除非是一些很简单的应用程序。

  5、无法扩展带深度检测功能

  基于状态检测的网络防火墙,如果希望只扩展深度检测(deep inspection)功能,而没有相应增加网络性能,这是不行的。

  真正的针对所有网络和应用程序流量的深度检测功能,需要空前的处理能力,来完成大量的计算任务,包括以下几个方面:

  ★ SSL加密/解密功能;

  ★ 完全的双向有效负载检测;

  ★ 确保所有合法流量的正常化;

  ★ 广泛的协议性能;

  这些任务,在基于标准PC硬件上,是无法高效运行的,虽然一些网络防火墙供应商采用的是基于ASIC的平台,但进一步研究,就能发现:旧的基于网络的ASIC平台对于新的深度检测功能是无法支持的。

  6、小结

  应用层受到攻击的概率越来越大,而传统网络防火墙在这方面有存在着不足之处。对此,少数防火墙供应商也开始意识到应用层的威胁,在防火墙产品上增加了一些弹性概念(Proof-Of-Concept)的特征,试图防范这些威胁。传统的网络防火墙对于应用安全的防范上效果不佳,对于上述列出的五大不足之处,将来需要在网络层和应用层加强防范。(完)

原文转自:http://www.ltesting.net