淺議防火墻安全策略

 隨著互聯網的不斷擴展，病毒，黑客以及一些非法網站不斷攻擊著人們的電腦所以人們也漸漸提高了防范意識比如殺毒軟件的安裝和使用，防火墻的安裝和升級常常幫助我們防范了很多非法網絡，保證了內部網絡安全。但是防火墻也不是萬能的，它也存在著很多不完善的東西，因此就需要我們不斷的去發現問題然后對它進行不斷改進才能讓防火墻變得更加完善更加可靠，本文針對目前防火墻所存在的問題進行剖析，并對所述問題提出了對應方案：自我防范的意識，對SSL流中的數據加密，利用Web應用程序進行滲透測試，根據系統環境來制作防范程序，防火墻深度檢測功能的運用。
 一、防火墻概述
 防火墻是設置在用戶網絡和外界之間的一道屏障，是為了防止不可預料的、潛在的破壞侵入用戶網絡。也可以把它理解為是安裝了防火墻軟件的主機或者是路由器系統；它是保護可信網絡、防止黑客通過非可信網絡入侵的一種設備也因此所有的從內部到外部或者從外部到內部的通信都必須經過它，只有內部訪問策略授權的通信才能夠被允許通過，外部對內部網絡的訪問都要受到它的限制。而它的系統本身也具有相當高的可靠性。
 二、防火墻在設置上出現的問題
 1、防火墻不能防范不經由防火墻的攻擊
 當我們在上網過程中如果遇到了有某個網絡請求被允許通過而我們沒有用防火墻進行攔截而是直接授權允許它通過；或者允許了從受保護網內部不受限制地向外撥號，一些用戶可以形成與因特網之際的點對點協議（Point to Point Protocol）的連接，這就是繞過了防火墻從而造成了一個潛在后門的網絡攻擊。
 2、防火墻不能防止已經感染了病毒的軟件或者是文件的傳輸
 現在有很多病毒、加密和壓縮的二進制文件種類，防火墻根本不可能對每個文件逐個進行掃描和查找潛在的病毒，所以要想不被病毒感染只有在防火墻的設置做一定的改進或者利用其他網絡工具來達到自己想要的目的。
 3、防火墻無法檢測加密后的Web流量
 當你正在規劃一個關鍵的門戶網站，而且也希望所有的網絡層和應用層的漏洞都被屏蔽在這個應用程序之外。這個需求，對于防火墻而言，確實是個大問題。由于網絡防火墻對于加密后的SSL流中的數據是看不見的，防火墻也無法迅速截獲SSL數據流并對它進行解密，因此無法去阻止應用程序被攻擊，甚至有些防火墻，根本就提供不了數據解密的這種功能。
 4、普通應用程序加密后，也能夠輕易的躲過防火墻的檢測
 防火墻無法看到的不僅僅是SSL加密后的數據。對于應用程序加密后的數據，同樣也看不見。現在大多數的防火墻中靠的是靜態的特征庫，和入侵監測系統(IDS，Intrusion Detect System)的原理相似。只有當應用層受攻擊的行為特征與防火墻中的數據庫中已有的特征完全相同時，防火墻才能識別和截取攻擊數據。
 但是現在利用最常見的編碼技術，就能夠將惡意代碼和其他攻擊命令隱藏起來或者把它轉換成其他的形式，既能欺騙前端的網絡安全系統又能夠在后臺服務器中執行。這種加密后的攻擊代碼，只要與防火墻規則庫中的規則不一樣，就能夠躲過網絡防火墻的阻止，成功避開他們之間的特征匹配。
 5、對于Web應用程序，防火墻的防范能力是不足的
 防火墻比Web服務器提早出世。而基于狀態檢測的防火墻，它的設計原理，是基于網絡層TCP和IP地址來設置與加強狀態訪問控制列表(ACLS，Access Control Lists)的。在這一方面，防火墻表現確實是十分出色。
 近幾年來在實際應用過程中，HTTP是主要的傳輸協議。主流的平臺供應商和大的應用程序供應商，都已經轉移到基于Web的體系結構上，安全防護的目標就不再只是重要的業務數據，并且防火墻的防護范圍也隨之發生了很大的改變。
 對于常規的企業局域網的防范，通用的網絡防火墻仍占有很高的市場份額，也繼續發揮著重要的作用，但是對于現在最新出現的上層協議，防火墻就顯得有些力不從心。
 由于體系結構不同的原因，即使是現在用最先進的防火墻，也很難去預防新的未知的攻擊。
 6、防火墻的應用防護特性，只適用于最簡單的網絡環境的情況
 雖然現在有些先進的防火墻供應商，提出了應用防護的特性，但也只適用于簡單的網絡環境中。仔細查看就會慢慢發現，防護特性對于實際的企業應用來說，它們卻存在著很大的局限性。
 因為防火墻的體系結構，決定了防火墻是針對網絡端口和網絡層進行的操作，所以很難對應用層進行防護，除非是一些極其簡單的應用程序。
 7、防火墻無法擴展帶深度檢測的功能
 基于狀態檢測的防火墻，如果只是希望具有擴展深度檢測(deep inspection)的功能，而沒有增加相應的網絡性能，這是行不通的。真正針對所有網絡和應用程序流量的深度檢測功能，需要空前的處理能力，從而來完成大量的計算任務。然而這些任務，在基于標準的PC硬件上，是沒有辦法高效的進行運行的，雖然有些防火墻供應商采用的是基于ASIC的平臺，但是我們進一步就能夠發現：以前的基于網絡的ASIC平臺對于新的深度檢測功能是沒有辦法去支持的。
 三、解決防火墻存在的問題的方案

首頁 上一頁 1 2 下一頁 尾頁 1/2/2