En primer lugar, los ataques de la capa de aplicaciones de desafiar el servidor de seguridad tradicionales
Los dos últimos años, un gran interés en el atacante de escaneo de puertos y ataques de denegación de servicio de Producción (contra ataque de DoS) se volvió en contra de la Web, correo electrónico o base de datos de ataques y otras aplicaciones generales. servidores de seguridad tradicionales sólo seleccione la cabecera del paquete IP, e ignorar el contenido - si la analogía que ver con la carta, que sólo se comprueba el sobre y no echa de papelería. Por lo tanto, este tipo de ataques a aplicaciones en los más necesitados. ¿Puede decirse que sólo a través de un tercero y los pisos cuarto de la dirección IP y el puerto de filtrado de protocolos productos de firewall ya han llegado a su fin.
En segundo lugar, combatir el fuego a siete
Para contrarrestar la capa de aplicación (modelo OSI de red de la capa de sesiones) del ataque, el servidor de seguridad debe tener la capa de aplicación capacidades de filtrado, Microsoft ISA Server 2004, los productos servidor de seguridad como el que ya tiene esta capacidad.
Si comparado con una arquitectura de red informática, el paquete tradicional de filtrado de firewall está en medio de la red interna e Internet una serie de puertas paralelo. Cada puerta tiene un personal de seguridad en el paquete de llegada (paquetes IP) para cada inspección, si los datos no se encuentra contiene código que abriría la liberación de la puerta de la excepción. Los atacantes de uso común truco es buscar a través del puerto para comprobar lo que la puerta está completamente abierta indefensa, y luego usarlo. Apareció más tarde con el servidor de seguridad de detección de estado puede comprobar qué paquetes de datos desde Internet a la respuesta de solicitud de acceso a la red interna. Es decir, el personal de seguridad puede identificar el paquete solicitado.
Sin embargo, gran parte los ataques de la capa de aplicaciones más complejas, ya que los paquetes de ataque son legales en la mayoría de los casos el paquete de datos, sólo los contenidos de la ofensiva diferentes, y por sub-IP de paquetes de datos transmitidos es decir, la identificación de necesidades de contenido todos los paquetes relacionados con precisión puede ser llevado a cabo después de la reorganización. Una vez que los paquetes de ataque a través del firewall, por lo general empiezan el uso ordenado de la vulnerabilidad del sistema de destino, se crea un desbordamiento de búfer, el sistema de control de acceso, y luego comenzar a buscar esto como una plataforma para otros sistemas en torno a los agujeros de gusano o salir de otros la puerta de atrás, y luego atacar.
En tercer lugar, el servidor de seguridad contramedidas
Esto, Microsoft ISA Server 2004 para adoptar las medidas de respuesta para cada tipo de aplicaciones de uso común, HTTP, SMTP, FTP y servidor de base de datos SQL de acceso (basado RPC) se establecen filtros especiales, si la amenaza en el futuro de la aparición de nuevas capas de aplicaciones , también pueden aumentar el filtro adecuado. Los usuarios pueden filtrar para cada aplicación de filtrado de configuración, por ejemplo, puede restringir el acceso a cualquier solicitud HTTP de amortiguamiento no más de 3000 bytes para evitar que los gusanos. En este nuevo mecanismo, a través de Internet, los paquetes son enviados a sus respectivos filtros, el filtro de paquetes será volver a escanear y la discriminación después de que el contenido. Tome un mensaje a favor, filtro SMTP esperará a que los paquetes en cuestión se habían reunido en la reestructuración de las páginas de transmisión antes de explorar su contenido, y los tipos conocidos de ataques de comparar, en la confirmación antes de que sea normal para permitir que a través del tráfico .
Después de cortafuegos bien configurado puede parar la gran mayoría de los virus actuales son conocidos por atacar el mensaje y el código. Aunque el bloqueo de virus desconocidos y ataques mucho más difícil, pero después de una configuración política razonable suelen ser eficaces. Instale correctamente la política basada en las necesidades del negocio usuarios de negocios el derecho a su propia comprensión, Li Ru, los usuarios de la mayoría de las empresas son por lo general no es necesario adoptar mensaje que entregar ejecutable Jian Wen y el código de Visual Basic script pulg Los usuarios pueden bloquear los mensajes que contienen un archivo adjunto ejecutable como para hacer frente a algunos virus desconocido. Una vez que realmente tenemos que enviar estos documentos también se pueden establecer estrategias más focalizadas, tales como permitir que los departamentos de TI a los usuarios enviar mensajes que contengan archivos adjuntos ejecutables o los usuarios podrán recibir además de contener el nombre de "Kournikova.jpg.vbs" El fuera de la secuencia de comandos de todos los archivos adjuntos de correo.
En cuarto lugar, la contradicción entre la seguridad y el rendimiento
Los usuarios ya acostumbrados a la seguridad y el rendimiento como antagónicos, como en la entrada de la seguridad de los aeropuertos de verificación más pasos, esperando a que el equipo de seguridad más largo. Para el servidor de seguridad, el rendimiento y la seguridad es de hecho un par de conflictos permanentes, pero la función de filtrado de aplicaciones de rendimiento de firewall en la mayoría de usuarios no creo que tan grande, Microsoft ISA Server 2004 nominales por segundo puede manejar más de 1000 de usuarios simultáneos, manteniendo al mismo tiempo por sesión (sesión) 27Mbps de rendimiento es posible. De hecho, algunos vendedores a través de hardware (ASIC) para alcanzar la capa de aplicación de filtrado del motor, puede llegar más cerca de la velocidad de línea (interpretado como interruptores de dirección Ethernet del límite) de potencia de procesamiento.
5, los nuevos desafíos
Con la capa de aplicación de firewall de filtrado pueden ser más eficaces en el bloqueo de los procedimientos actuales para la mayoría de los virus y los ataques, pero las amenazas de seguridad emergentes en el nuevo servidor de seguridad ha planteado nuevos retos. Fuente del ataque es cada vez más complejo, pero también cada vez más sofisticados medios de ataque, el último correo basura y el código de ataque es un típico ejemplo de la integración. La necesidad de dispositivo de firewall de nivel de aplicación para una mejor comprensión del contenido y la capacidad intelectual de distinguir, por otra parte también necesita un cortafuegos y otros dispositivos de seguridad más y aplicaciones trabajan juntas de manera eficaz, para conseguir una protección más eficaz.