Először is, az alkalmazás-réteg támadások a kihívást a hagyományos tűzfal
Az elmúlt két évben jelentős mértékben érdekelt a támadók a portok és a szolgáltatásmegtagadási támadások Manufacturing (DoS támadás) ellen fordult a Web, E-mail vagy adatbázis-támadások és más mainstream alkalmazások. A hagyományos tűzfalak csak azt ellenőrzi, az IP csomag fejlécében, és figyelmen kívül hagyja a tartalmát - ha a hasonlóság, hogy köze van a levél, amely csak ellenőrzött a borítékot, és nem ellenőrizte irodaszerek. Ezért, az ilyen típusú alkalmazás réteg támadások a tehetetlen. Elmondható, hogy csak egy harmadik és negyedik emeleten az IP cím és protokoll port szűrés tűzfal termékek már véget ért.
Másodszor, a tűz elleni hét
Megakadályozására alkalmazási réteg (OSI hálózati modell a hetedik réteg) a támadás, a tűzfal kell az alkalmazás-réteg szűrési lehetőségek, a Microsoft ISA Server 2004 tűzfal termékek, mint a már ezzel a funkcióval.
Ha hasonlítani a számítógépes hálózati architektúra, a hagyományos csomagszűrő tűzfal között a belső hálózat és az internet egy sor párhuzamos ajtók. Minden ajtó a biztonsági személyzet érkezéskor csomag (IP csomagok) minden vizsgálat, ha az az adat nem található kódot, amely megnyithatja az utat kiadás a kivétel. A támadók gyakran használt trükk, hogy átkutat átmenő a port, hogy ellenőrizze, mi az ajtó tárva-nyitva védtelen, és akkor használd. Megjelent később az állam nyomozás tűzfal ellenőrzi, amely az adatcsomagokat az interneten, hogy a belső hálózati hozzáférés iránti kérelem válasz. Ez, a biztonsági személyzet képes azonosítani a kéretlen csomagot.
Azonban sokkal összetettebb alkalmazás-réteg támadások, mert a támadás csomagokat jogi esetek többségében az adatcsomagot, csak a tartalom különböző támadó, és mert al-IP adatcsomag továbbítása, a tartalom azonosító kell Az összes kapcsolódó csomagok pontosan végrehajtani átszervezése után. Miután a támadás csomagokat a tűzfalon keresztül, általában kezdeni a szabályszerű felhasználása a cél rendszer sebezhetősége létrehoz egy buffer overflow, beléptető rendszerek, szolgálhat a platformot kezdeni más rendszerek számára az egész féreg lyukak vagy más szabadság A hátsó ajtón, majd a támadás.
Harmadszor, a tűzfal ellenintézkedések
Ez, a Microsoft ISA Server 2004, hogy a válaszintézkedések minden típusú hagyományos alkalmazások, HTTP, SMTP, FTP, és az SQL Server adatbázisokhoz való hozzáférés (RPC alapú) határozza speciális szűrőket, ha a jövőbeni veszélye az újabb alkalmazás-réteg is növelheti a megfelelő szűrőt. A felhasználók alkalmazhatják minden szűrőre a megfelelő beállításokat, például korlátozhatja a hozzáférést bármilyen HTTP kérés buffer nem több, mint 3000 byte megelőzésére férgek. Ebben az új mechanizmus, az Internet, csomagokat küldeni saját szűrőket, a csomagszűrő újra scan és a hátrányos megkülönböztetés után a tartalom. Végy egy üzenetet, SMTP szűrő várni az adott csomag jött a vacsora előtt átszervezését az üzenetet továbbítja a vizsgálat annak tartalmát, és az ismert típusú támadások összehasonlítani, a megerõsítõ, lehetőség van a normál áramlási .
Után a megfelelően konfigurált tűzfal megállítja a legtöbb modern vírusok ismert támadást az üzenet és a kód. Bár a blokk ismeretlen vírusok és támadások sokkal nehezebb, de miután ésszerű házirend-beállítások általában hatékonyak. Stratégiánk alapja a megfelelő beállításokat a vállalati ügyfeleknek helyes értelmezése az üzleti igények kielégítését, például, a legtöbb vállalat a felhasználók általában nem szükséges, hogy áthaladjon a levél futtatható állományokat és Visual Basic Script kódot. A felhasználók blokk tartalmazó üzenetek olyan futtatható mellékletet kezelésére egy ismeretlen vírus. Egyszer valóban kell küldeni ezeket a fájlokat, akkor is meg célirányosabb stratégiákat, például lehetővé teszi az informatikai részlegek a felhasználók üzeneteket küldjenek tartalmazó végrehajtható mellékleteket, illetve lehetővé teszik számára, hogy megkapják kívül tartalmazza a nevét "Kournikova.jpg.vbs" A kívül a script az összes mail mellékletként.
Negyedszer, az egyrészt a biztonság és a teljesítmény
Felhasználók már hozzá van szokva, hogy a biztonság és a teljesítmény antagonisztikus, mint a bejáratnál a repülőtéri biztonsági ellenőrzés további lépéseket vár a hosszabb biztonsági csoport. A tűzfal, a teljesítmény és a biztonság valóban egy pár állandó konfliktusok, de a funkciója alkalmazási réteg tűzfal szűrési teljesítmény és a legtöbb felhasználó nem hiszem, hogy nagy, a Microsoft ISA Server 2004 nominális másodpercenként képes kezelni több mint 1000 egyidejű felhasználók, miközben egy-ülés (session) 27Mbps adatátviteli teljesítményt. Sőt, egyes forgalmazók révén hardver (ASIC) elérése érdekében az alkalmazás-réteg szűrési motor elérheti közelebb a vonal aránya (értelmezni, Ethernet switch címét a határ) a feldolgozás erő.
5, új kihívások
Az alkalmazási réteg szűrési tűzfal hatékonyabban blokkolja a legújabb vírus és támadás eljárásokat, de az új az új biztonsági fenyegetések másik két tűzfal fel az új kihívásokat. Forrása a támadás egyre összetettebbé válik, ugyanakkor egyre kifinomultabb eszközökkel támadás, a legújabb spam-és támadás kód kombinációja jellemző példa. Annak szükségességét, hogy alkalmazási réteg tűzfaleszköz jobb megértéséhez a tartalom és a szellemi megkülönböztető képességgel, másrészt is szükség van a tűzfal és egyéb biztonsági eszközök és az alkalmazások jobban működjenek együtt hatékony megvalósítása érdekében hatékonyabb védelmet.