Ten eerste, applicatielaag aanslagen uitdaging voor de traditionele firewall
De laatste twee jaar aanzienlijk belang hebben in de aanvaller uit de haven scannen en denial of service attacks Manufacturing (DoS Attack) keerden zich tegen het Web, E-mail of database-aanvallen en andere mainstream toepassingen. Traditionele firewalls inspecteren alleen het IP-packet-header, en negeer de inhoud - als de analogie te maken met de brief, die alleen wordt gecontroleerd de envelop en niet te controleren briefpapier. Daarom is dit type van applicatie laag aanvallen op de hulpeloze. Kan worden gezegd dat alleen door een derde en de vierde verdieping van het IP-adres en het protocol poort filtering firewall producten die al zijn gekomen om een einde te maken.
Ten tweede, de bestrijding van brand tot zeven
Om zich tegen de applicatielaag (OSI netwerk model van het zevende laag) van de aanval, de firewall moet applicatielaag hebben filtering mogelijkheden, Microsoft ISA Server 2004 firewall producten, zoals reeds deze mogelijkheid heeft.
Als vergeleken met een computernetwerk architectuur, de traditionele packet filtering firewall bevindt zich tussen het interne netwerk en het internet een reeks van parallelle deuren. Elke deur heeft een beveiliging personeel bij aankomst pakket (IP-pakketten) voor elke inspectie, indien de gegevens niet bevat code die de deur laat de uitzondering zou open gevonden. Aanvallers vaak gebruikte truc is om te scannen via de haven om te controleren wat de deur staat wijd open onverdedigd, neem dan voordeel van. later met de staat detectie firewall Verscheen kunnen kiezen welke datapakketten te controleren vanaf het internet naar het interne netwerk toegang wordt gevraagd antwoord. Dat wil zeggen, de veiligheid medewerkers zich kunnen identificeren ongevraagde pakket.
Echter, veel complexer applicatielaag aanvallen, omdat de aanval pakketten zijn legaal in de meeste gevallen zijn deze gegevens pakket, alleen de inhoud van de verschillende offensief, en omdat sub-IP-datapakket is uitgezonden, de inhoud identificatie nodig alle gerelateerde pakketten nauwkeurig kan worden uitgevoerd na de reorganisatie. Zodra de aanval pakketten via een firewall, zijn ze meestal beginnen met de ordelijke gebruik van het TARGET-systeem zorgt voor een buffer overflow kwetsbaarheid, toegangscontrole systemen, en vervolgens op zoek gaan naar dit als een platform voor andere systemen rond de worm gaten of andere vormen van verlof de achterdeur, en vervolgens aan te vallen.
Ten derde, de firewall tegenmaatregelen
Dit zou, Microsoft ISA Server 2004 maatregelen nemen voor elk type van de "mainstream toepassingen, HTTP, SMTP, FTP en SQL Server-database toegang (op basis van RPC) zijn ingesteld op een speciale filter, indien de toekomstige dreiging van de opkomst van nieuwe applicatie-laag , kunnen ook de geschikte filter. Gebruikers kunnen filter voor elke applicatie-filtering-instellingen, bijvoorbeeld, kan de toegang beperken tot een HTTP-verzoek buffer niet meer dan 3000 bytes om wormen te voorkomen. In dit nieuwe mechanisme van het internet, pakketjes worden verstuurd naar hun respectievelijke filters, de packet filter zal opnieuw scannen en discriminatie na de inhoud. Neem een boodschap voor, SMTP filter zal wachten voor de desbetreffende pakket kwam voor het diner, vóór de reorganisatie van het bericht in de vooruit te scannen de inhoud ervan, en de bekende soorten aanvallen te vergelijken, in de bevestiging voordat het wordt toegestaan door de normale stroming .
Na goed geconfigureerde firewall kan stoppen met de overgrote meerderheid van de moderne virussen is bekend dat ze de boodschap en de code aan te vallen. Hoewel het blok onbekende virussen en aanvallen veel moeilijker, maar na een redelijke beleid instellingen zijn meestal effectief. Correct in te stellen van het beleid is gebaseerd op zakelijke klanten voor hun zakelijke behoeften het juiste begrip, bijvoorbeeld, de meeste bedrijven is meestal niet nodig om de gebruiker door middel van U Jian Chuan Lai Di 脚本 uitvoerbare bestanden en Visual Basic-code. Gebruikers kunnen blokkeren berichten met een dergelijke uitvoerbare bevestiging om te gaan met een onbekend virus. Zodra we echt nodig om deze bestanden te verzenden, kunt u ook meer gerichte strategieën, zoals het toestaan van IT-afdelingen van de gebruiker om berichten met uitvoerbare bijlagen te versturen of gebruikers die naast de naam te ontvangen toelaten "Kournikova.jpg.vbs" De buitenkant van het script alle mailbijlagen.
Ten vierde, de tegenstelling tussen veiligheid en prestaties
Gebruikers die al gewend aan de veiligheid en prestaties als de antagonistische, zoals in de ingang van de luchthaven security check meer stappen, wacht voor de meer lange security team. Voor de firewall, de prestaties en beveiliging is inderdaad een paar permanente conflicten, maar de functie van de applicatielaag filtering firewall voor het merendeel van de gebruikers niet zo groot te denken, Microsoft ISA Server 2004 nominaal per seconde kan verwerken meer dan 1000 gelijktijdige gebruikers, met behoud van per sessie (sessie) 27Mbps throughput. In feite, sommige leveranciers door middel van hardware (ASIC) tot applicatielaag filtering motor te bereiken, kan dichter bij de lijnsnelheid (geïnterpreteerd als Ethernet-switches van de beperking) van de verwerking vermogen te bereiken.
5, nieuwe uitdagingen
Met applicatielaag filtering firewall kan worden efficiënter in het blokkeren van de huidige procedures voor het merendeel van de virussen en aanvallen, maar de nieuwe opkomende bedreigingen voor de veiligheid op de firewall heeft geleid tot nieuwe uitdagingen. Bron van de aanval wordt steeds complexer, maar ook steeds meer geavanceerde middelen van aanval, de nieuwste spam-code en de aanval is een typisch voorbeeld van integratie. De noodzaak voor de applicatielaag firewall-apparaat voor een beter begrip van de inhoud en het intellectuele vermogen om onderscheid te maken, aan de andere kant moeten ook een firewall en andere beveiliging meer apparaten en toepassingen werken effectief samen, om meer doeltreffende bescherming te bereiken.