传统网络防火墙的不足

网络防火墙在安全防护中,起到重要作用,但是我们,也应该看到它的不足之处。

如今,知识渊博的黑客,均能利用网络防火墙开放的端口,巧妙躲过网络防火墙的监测,直接针对目标应用程序。他们想出复杂的

攻击方法,能够绕过传统网络防火墙。据专家统计,目前70%的攻击是发生在应用层,而不是网络层。对于这类攻击,传统网络防火墙的防护效果,并不太理想。

传统的网络防火墙,存在着以下不足之处:

1、无法检测加密的Web流量

如果你正在部署一个光键的门户网站,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求,对于传统的网络防火墙而言,是个大问题。

由于网络防火墙对于加密的SSL流中的数据是不可见的,防火墙无法迅速截获SSL数据流并对其解密,因此无法阻止应用程序的攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。

2、普通应用程序加密后,也能轻易躲过防火墙的检测

网络防火墙无法看到的,不仅仅是SSL加密的数据。对于应用程序加密的数据,同样也不可见。在如今大多数网络防火墙中,依赖的是静态的特征库,与入侵监测系统(IDS,Intrusion Detect System)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时,防火墙才能识别和截获攻击数据。

但如今,采用常见的编码技术,就能够地将恶意代码和其他攻击命令隐藏起来,转换成某种形式,既能欺骗前端的网络安全系统,又能够在后台服务器中执行。这种加密后的攻击代码,只要与防火墙规则库中的规则不一样,就能够躲过网络防火墙,成功避开特征匹配。

3、对于Web应用程序,防范能力不足

网络防火墙于1990年发明,而商用的Web服务器,则在一年以后才面世。基于状态检测的防火墙,其设计原理,是基于网络层TCP和IP地址,来设置与加强状态访问控制列表(ACLs,Access Control Lists)。在这一方面,网络防火墙表现确实十分出色。

近年来,实际应用过程中,HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商,均已转移到基于Web的体系结构,安全防护的目标,不再只是重要的业务数据。网络防火墙的防护范围,发生了变化。

对于常规的企业局域网的防范,通用的网络防火墙仍占有很高的市场份额,继续发挥重要作用,但对于新近出现的上层协议,如XML和SOAP等应用的防范,网络防火墙就显得有些力不从心。

由于体系结构的原因,即使是最先进的网络防火墙,在防范Web应用程序时,由于无法全面控制网络、应用程序和数据流,也无法截获应用层的攻击。由于对于整体的应用数据流,缺乏完整的、基于会话(Session)级别的监控能力,因此很难预防新的未知的攻击。

时间: 2016-11-21

传统网络防火墙的不足的相关文章

认识传统网络防火墙不足之处

网络防火墙在安全防护中,起到重要作用,但是我们,也应该看到它的不足之处. 如今,知识渊博的黑客,均能利用网络防火墙开放的端口,巧妙躲过网络防火墙的监测,直接针对目标应用程序.他们想出复杂的 攻击方法,能够绕过传统网络防火墙.据专家统计,目前70%的攻击是发生在应用层,而不是网络层.对于这类攻击,传统网络防火墙的防护效果,并不太理想. 传统的网络防火墙,存在着以下不足之处: 1.无法检测加密的Web流量 如果你正在部署一个光键的门户网站,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外.这个需

传统的网络防火墙的缺陷

如今,知识渊博的黑客,均能利用网络防火墙开放的端口,巧妙躲过网络防火墙的监测,直接针对目标应用程序.他们想出复杂的攻击方法,能够绕过传统网络防火墙.据专家统计,目前70%的攻击是发生在应用层,而不是网络层.对于这类攻击,传统网络防火墙的防护效果,并不太理想. 传统的网络防火墙,存在着以下不足之处: 1.无法检测加密的Web流量 如果你正在部署一个门户网站,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外.这个需求,对于传统的网络防火墙而言,是个大问题. 由于网络防火墙对于加密的SSL流中的数

发展迅速的网络防火墙功夫深入到第七层

编者按在短短的几年里,防火墙的功能重心从网络层发展到了应用层.本文阐述了这种变迁的技术背景,以及未来的防火墙技术走向. 应用层攻击挑战传统防火墙 最近两年来,攻击者的兴趣明显从端口扫描和制造拒绝服务攻击(DoS Attack)转向了针对Web.E-mail甚至数据库等主流应用的攻击.传统的防火墙仅仅检查IP数据包的包头,而忽略了内容--如果用信件来做比喻,也就是只检查了信封而没有检查信纸.因此对这类应用层的攻击无能为力.可以说,仅仅靠第三层和第四层的IP地址和协议端口过滤的防火墙产品早已走到了尽

SDN网络与传统网络对比分析

IP网络从1982年TCP/IP 成为互联网前身的ARPANET标配以来,随着互联网的发展而迅猛扩展.在数据网络方面基本已经一统天下,做到了 everything over IP.IP网络作为承载互联网,物联网,云计算以及VR,AI等未来各种无限可能的数据服务的底层网络,其灵活性,扩展性以及对业务的支持可编程需求要求网络更快的完成自身演进. 从IP网络的整体发展看,从网络的基本可以清晰的分为三个阶段,当然这三个阶段的网络在现实世界是并存的. 纯IP网络 (IP战胜了其他网络层协议,成为数据网络的

VMware NSX威胁传统网络厂商硬件业务

SDN软件定于网络正在成为传统网络厂商追逐的热点,而VMware NSX的推出则是VMware切入网络虚拟化市场重要产品.NSX如同VMware的http://www.aliyun.com/zixun/aggregation/13995.html">服务器虚拟化技术,NSX可以基于任何现有的物理网络基础架构无中断部署新的网络拓扑结构.其实NSX虚拟网络是一种软件容器,可以将逻辑网络组件(逻辑交换机.逻辑路由器.逻辑防火墙.逻辑负载平衡器等)组成新的网络架构来承载工作负载. 简单理解NSX的

那些让传统网络捉襟见肘的新需求

博主一直相信一件事情:任何互联网底层的创新都是自顶向下的.SDN的兴起不是因为Martin Casado脑洞大开才主张要控制和转发平面分离.而是因为某些来自于互联网顶层的应用需要对网络设备进行集中控制,集中控制最好的方式正好是控制和转发平面分离.在这篇文章里,博主会列举那些在传统网络当中不太容易实现的刚性需求.在日后的文章中,博主会展开分析SDN是如何满足这些刚性需求的.欢迎大家百家争鸣,查漏补缺.   刚性需求一:省钱!省钱!省钱! 传统网络的开销大概分为两部分:购买成本和运营成本.购买成本

SDN网络与传统网络对比分析(上)

本文作者:大河云联,闫浩 IP网络从1982年TCP/IP 成为互联网前身的ARPANET标配以来,随着互联网的发展而迅猛扩展.在数据网络方面基本已经一统天下,做到了 everything over IP.IP网络作为承载互联网,物联网,云计算以及VR,AI等未来各种无限可能的数据服务的底层网络,其灵活性,扩展性以及对业务的支持可编程需求要求网络更快的完成自身演进. 从IP网络的整体发展看,从网络的基本可以清晰的分为三个阶段,当然这三个阶段的网络在现实世界是并存的. 纯IP网络 (IP战胜了其他

八款网络防火墙主要功能介绍

一.傲盾防火墙 以Administrator身份登录Windows2000/XP后安装KFW程序,完成后重新启动加载核心程序.首次启动KFW会弹出设置向导,一般使用默认设置即可. 1.防火墙规则设置 双击任务栏的图标弹出主界面,KFW防火墙已经内置42条规则,其中包括了20条标准安全规则及22条针对主流木马程序的规则,这些规则能够确保系统安全.双击任意一条规则可以进行编辑.KFW还提供5个安全等级,一般情况下使用中.高级即可,另外,还可根据网上安全情况来动态的设置规则,比如震荡波病毒在网上猖獗时

实现Linux网络防火墙

防火墙作为一种网络或系统之间强制实行访问控制的机制,是确保网络安全的重要手段.针对不同的需求和应用环境,可以量身定制出不同的防火墙系统.防火墙大到可由若干路由器和堡垒主机构成,也可小到仅仅是网络操作系统上一个防火墙软件包所提供的包过滤功能. 在众多网络防火墙产品中,Linux操作系统上的防火墙软件特点显著.首先是Linux操作系统作为一个类Unix网络操作系统,在系统的稳定性.健壮性及价格的低廉性方面都独具优势.更为重要的是,Linux不但本身的源代码完全开放,而且系统包含了建立Internet