防范互联网新威胁须要采用应用层防火墙

在现代的计算环境中,应用层防火墙日益显示出其可以减少攻击面的强大威力。最初的网络安全不过是使用支持访问列表的路由器来担任。对简单的网络而言,仅使用访问控制列表和一些基本的过滤功能来管理一个网络对于未授权的用户而言已经足够。因为路由器位于每个网络的中心,而且这些设备还被用于转发与广域网的通信。

 

但路由器仅能工作在网络层,其过滤方式多少年来并没有根本性的变化。制造路由器的公司也为增强安全性在这一层上也是下足了工夫。更明确地讲,所有的安全措施只不过存在于路由器所在的网络层而已。

 

会话层防火墙也称为电路级防火墙或电路网关。这种电路级防火墙使用网络地址转换(NAT)来保护内部网络,而这些网关几乎没有或根本没有与应用层的连接,所以它们也就不能过滤更复杂的连接。这种防火墙只能根据基本的规则(如源地址端口)来保护数据通信。

 

随着技术的发展和进步,人们需要管理外发的数据通信,需要进行过滤。用户们可以浏览互联网,并且可以利用内部防御系统中的漏洞,因为恶意用户可以将自己伪装成一个合法的用户。

 

用户可以通过远程登录到一个开放的外发端口,而此端口并不是一个telnet端口(从23号端口登录到80号端口),这意味着用户可以轻易地绕过第五层设备的安全防御。支持访问列表的路由器会准许用户连接到一个端口上,虽然此端口并不是远程登录端口,而是另外一种服务的端口。这意味着路由器在数据包通过时并没有实施检查。由此便造成恶意数据包可以在网络上传输。

 

在上个世纪的90年代,主流的代理服务器登上了舞台,它集成了基本的防火墙技术。这种“代理服务器防火墙”能够劫获源主机和目标主机之间的通信。因为“代理服务器防火墙”位于中间的位置,所以它拥有根据预先定义的规则集来检查数据包的能力。

 

传统会话层防火墙技术的局限

 

会话层防火墙工作在第五层。在上个世纪的90年代,这种技术对于保护网络是足够的。但是,随着攻击发展到应用层,以及互联网的增长,会话层防火墙的功能不再是足够的。其结果是没有应用层保护机制的防火墙将导致错误的配置, 而且操作系统的漏洞会直接暴露到互联网上,这是由于所有的会话层防火墙通过提供一张路由表和访问控制列表而提供一种基本的保护措施。

 

在会话层防火墙上的一些小进步使得防火墙可以在更深的层次上检查常见协议的数据包,不过,用metasploit和 backtrack等工具很容易就可以绕过这些措施。在今天的网络环境中,唯一的选择是安装一个应用层防火墙,它不仅仅可以实施ACL及目标端口等的检查。在与现代的应用程序交互时,进行更深的数据包检查、状态连接管理、应用层过滤是至关重要的功能。因此,许多重视安全性的单位在面临会话层和应用层防火墙的选择时,会坚定地选择后者。

 

应用层防火墙技术

 

第三代防火墙称为应用层防火墙或代理服务器防火墙,这种防火墙在两种方向上都有“代理服务器”的能力,这样它就可以保护主体和客体,防止其直接联系。代理服务器可以在其中进行协调,这样它就可以过滤和管理访问,也可以管理主体和客体发出和接收的内容。这种方法可以通过以各种方式集成到现有目录而实现,如用户和用户组访问的LDAP。

 

应用层防火墙还能够仿效暴露在互联网上的服务器,因此正在访问的用户就可以拥有一种更加快速而安全的连接体验。事实上,在用户访问公开的服务器时,他所访问的其实是第七层防火墙所开放的端口,其请求得以解析,并通过防火墙的规则库进行处理。一旦此请求通过了规则库的检查并与不同的规则相匹配,就会被传递给服务器。这种连接在是超高速缓存中完成的,因此可以极大地改善性能和连接的安全性。

 

而在OSI模型中,第五层是会话层,第七层是应用层。应用层之上的层为第八层,它在典型情况下就是保存用户和策略的层次。

 

关于OSI的进一步说明

 

OSI是一个网络架构的分层模型。它描述和规定了两个互联的系统如何通信。其中,顶层在典型情况下即为“基于代理服务器的防火墙”所工作的层次。应用层防火墙是第三代防火墙,,这种防火墙可以向下扫描其下的各层。在与会话层防火墙或电路层防火墙比较时,这种应用层防火墙可以集成会话层防火墙的特性和反向代理服务器等其它高级特性,从而实现更安全的网站访问。

 

当今的攻击已经发展得相当高级,多数会话层防火墙甚至并不能阻止多数基本的应用型攻击。因此,我们需要向第五层防火墙道别或者用更加安全的“应用层防火墙” 来替换之。

 

小结

 

不管我们如何对过去的老技术念念不忘,总不能忽视更新的防火墙面孔和更新的防火墙技术方法。安全专家们受到了前所未有的挑战,这种挑战来自于学会了如何加密其数据通信以逃避管理的用户。那么,我们的解决方案就应当是实施应用层防火墙,它应当能够对加密的数据流进行扫描。互联网的风景很精彩,但更需要我们认识到的是,一些更加结构化的应用层攻击正不断地“崭露头角”并兴风作浪,对付这种新威胁的唯一制胜之道便是实施更加精密复杂的应用层防火墙。

时间: 2024-10-24 10:46:48

防范互联网新威胁须要采用应用层防火墙的相关文章

网络新威胁 网络钓鱼攻击技术及防范(1)

随着人们越来越多地依靠互联网进行商业.个人财政和投资等活动,互联网诈骗已经成为一个越来越大的威胁.互联网诈骗有多种形式,从eBay网站上销售的假冒商品到操纵股票价格的恶语流言,再到承诺如果你通过自己的银行帐户帮助进行一笔国外金融交易就能得到大笔财富的骗局,不一而足. 网络钓鱼就是互联网诈骗中很有趣且发展最快的一种.网络钓鱼(Phishing)的名称来自使用精心布置的诱饵(如看起来很像来自一个真实公司或机构的E-mail),这些诱饵是一些别有用心的人所设置,用于"钓取"用户的财政状况.信

全面解析网络安全新威胁“网络钓鱼”式攻击

什么是网络钓鱼?网络钓鱼(Phishing)一词,是"Fishing"和"Phone"的综合体,由于黑客始祖起初是以电话作案,所以用"Ph"来取代"F",创造了"Phishing"."网络钓鱼"攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号.账户用户名.口令和社保编号等内容.诈骗者通常会将自己伪装成知名银行.在线零售商和信用卡公司等可

.Net:解读微软互联网新战略(下)

互联网|微软|战略 .Net:解读微软互联网新战略(下)(玺龙阁收藏,强力推荐!) MSN网络服务 在.Net的整体策略出现之前,MSN实际上一直是微软的一个心病.自1995年随Windows 95推出以来,MSN虽然在信息内容建设方面卓有成效,但是其在微软公司内部的整体策略中的位置以及本身的发展策略一直摇摆不定.从在线服务的注册用户数量上,MSN根本无法和AOL相比,而作为一个纯粹网络服务门户又很难保证盈利.但是自从微软用.Net的思路把软件/服务融合为一个概念后,MSN就真正有了新的作用.它

戴尔调查:企业忽视新威胁将导致损失

本文讲的是 :  戴尔调查:企业忽视新威胁将导致损失  ,[IT168 调查报告]BYOD.移动.云计算.互联网的迅速发展,以及意外和恶意的内部行为催生了新一代的未知安全威胁,正在给企业带来大量新的风险.然而,根据日前发布的戴尔全球安全调查,全球大多数IT主管表示这些威胁并非是他们最主要的安全隐患,并且他们没有首先了解如何在诸多源头上发现和解决这些安全隐患.事实上,只有37%的受访者把未知威胁看作未来五年的主要安全隐患. 传染性威胁会来自于企业内外的各个角落并且经常隐藏在错误的配置或许可以及低效

Net:解读微软互联网新战略(上)

互联网|微软|战略 Net:解读微软互联网新战略(上)(玺龙阁收藏,强力推荐!) http://www.chinabyte.com/column/column_page.shtm?column_type=comp_search&coluid=2215 [作者]毛向辉 陈志红 文章纲要: 一.战略大转移 1..Net是什么? 2..Net是计算模式的转变 3..Net对软件商业模式的转变 4.微软的终极目标 5..Net对网络商业的影响 二.整体策略与产品目标的紧密配合 1.PC时代的延伸 2.面

罪犯锁定用户数据 零售商面临恶意软件形式的新威胁

我们知道,网络罪犯"一切向钱看".他们不断锁定能够为其提供最具价值的数据和信息的行业及个人,以便从中牟利.对这些组织完备.资源充足的犯罪团伙而言,从违法犯罪活动中创收胜过一切. 去年有好几次,美国的零售商明显成为了攻击的对象.据悉多家知名公司遭到了黑客入侵,信用卡信息.客户数据和其他敏感信息被窃取,并且这通常会持续相当长的一段时间. 而这还只是冰山一角.如我们所知,网络犯罪的动机在于利润而不是名声.他们已不再热衷于进行那些明显.高调的攻击,而是更倾向于实施隐秘的攻击,以期在攫取最多数据

安全双标准或成拖垮企网防护的新威胁

近年来,随着互联网应用的日益深化,各类企业由网络而引发的安全事件层出不穷.对此,部分企业不惜重金在网络安全设备及方案上投入巨资,期望获得安全.稳固的应用体验.然而现在则有安全机构发现,一部分企业IT运维人员却在执行着双重标准,令企业网络的安全防护陷入极大的威胁之中. 安全双标准或成拖垮企网防护的新威胁 安全双标准或成拖垮企网防护的新威胁 根据该机构提供的研究报告显示,从来自英国的IT主管和相关决策者处获得的大量数据表明,企业内有相当高比例的IT运维人员并不按照他们所设定的安全协议框架工作. 调查

E安全落户乌镇 打造全球互联网新媒体品牌

  12月17日上午,桐乡市政府与中国领先的全球网络安全垂直新媒体E安全在第二届世界互联网期间就网络信息安全发展与新媒体创新战略合作正式达成深度战略合作协议.上午9时30分,桐乡市政府与E安全新媒体产业合作暨互联网+信息安全产业园合作项目在世界互联网大会互联网之光博览会"乌镇发布"正式签约. 桐乡乌镇作为世界互联网大会的永久举办地,正积极打造成互联网元素无处不在的技术应用示范地:深受互联网资本.创业者亲睐的互联网产业高地:成为互联网研发技术和展示展览的重要策源地.桐乡市紧紧抓住互联网大

Facebook——互联网新商业价值链之核

2010年圣诞节的时候,Facebook的创始人马克·扎克伯格到中国度假,先后拜访了国内的多个老大,中国移动,百度,新浪和阿里巴巴.大家都在猜测着Facebook是否在中国有所动作,中国互联网大佬们从Mark这个年轻人身上能感受到什么. 无论如何,大家对Facebook的理解和期望,已经不是简单的一个社交网络或者是MySpace的替代者,而是互联网新商业链中的核心,Google的替代者. 关于未来,中国的社交网络公司最好的出路也许是上市,而马克的Facebook却在不断思索着如何改变世界. Fa