För det första att ansökan lager attacker utmana de traditionella brandväggen
De senaste två åren, stort intresse för angripare från port scanning och överbelastningsattacker Manufacturing (DoS Attack) vände sig mot Internet, e-post eller databas attacker och andra applikationer mainstream. Traditionella brandväggar bara kontrollera IP-pakethuvud, och ignorera innehållet - om analogi att göra med brevet, som bara kontrolleras kuvertet och kontrollerade inte brevpapper. Därför är denna typ av attacker ansökan lager på hjälplösa. Det kan sägas endast av ett tredje lager och fjärde lagret protokoll IP adress och hamn filtrerande brandvägg produkter som redan har kommit till ett slut.
För det andra, bekämpa elden till sju
För att motverka applikationslagret (OSI nätverksmodellen av den sjunde lager), attacken måste brandväggen ha ansökan lager filtrering, Microsoft ISA Server 2004 brandvägg produkter som redan har denna möjlighet.
Om liknas vid ett datornätverk arkitektur, traditionella paketfiltrering brandvägg är i mellan det interna nätverket och Internet en serie parallella dörrar. Varje dörr har en säkerhetspersonal vid ankomsten paket (IP-paket) för varje inspektion, om det inte finns några data finns undantag kod öppnar dörren innehåller en release. Angripare vanligaste trick är att skanna genom hamnen för att se vad dörren är vidöppen oförsvarad och sedan använda den. Verkade senare med staten upptäckt brandvägg kan kontrollera vilka datapaket från Internet till det interna nätverket tillgång begäran svar. Det är, säkerhetspersonal kan identifiera oönskade paket.
Men mycket mer komplex tillämpning lager attacker, eftersom attacken paketen är lagliga i de flesta fall paketdata, bara innehållet i olika offensiv, och eftersom sub-IP-datapaket sänds måste innehållet identifiering alla relaterade paket exakt kan utföras efter omorganisationen. När attacken paket genom brandväggen, de brukar börja en ordnad användning av målsystemet sårbarhet skapar ett buffertspill, kontrollsystem för tillträdesvägar, kan tjäna som en plattform för att börja leta efter andra system runt om masken hål eller andra möjligheter till bakvägen, och sedan till attack.
För det tredje, brandväggen motåtgärder
Detta på Microsoft ISA Server 2004 vidta motåtgärder för varje typ av mainstream ansökningar, HTTP, SMTP, FTP och SQL Server-databas access (baserad RPC) finns speciella filter om det framtida hotet om uppkomsten av nya ansökan lager kan också öka lämpliga filter. Användare kan filter för varje tillämpning-filtrering inställningar, till exempel, kan begränsa tillgång till HTTP-begäran buffert inte mer än 3000 byte för att förhindra maskar. I denna nya mekanism, från Internet, är paket som skickas till sina respektive filter, kommer filtret att genomföras efter omorganisationen av innehållet i påsen skanning och diskriminering. Ta ett meddelande kommer SMTP filter avvakta paketet kom för middag, innan omorganisationen av budskapet i den främre scan dess innehåll, och de kända typer av attacker att jämföra, i bekräftelse innan det tillåts av det normala .
Efter korrekt konfigurerad brandvägg kan stoppa de allra flesta moderna virus är kända för att attackera meddelandet och koden. Trots att blockera okända virus och attacker mycket svårare, men efter en rimlig politik inställningar är vanligtvis effektiv. Strategin bygger på korrekta inställningar för företagskunder korrekt förståelse av deras behov, till exempel, de flesta företag använder är oftast inte nödvändigt att passera genom post körbara filer och Visual Basic Script kod. Användare kan blockera meddelanden som innehåller sådan en körbar bifogad fil för att ta itu med några okända virus. När vi verkligen måste skicka dessa filer kan du även mer riktade strategier, såsom att låta IT-avdelningar att användaren kan skicka meddelanden med körbara program eller bilagor eller att användarna kan ta emot förutom med namnet Kournikova.jpg.vbs "Den utanför skriptet alla bifogade filer.
För det fjärde motsättningen mellan säkerhet och prestanda
Användare som redan är vana vid säkerhet och prestanda som antagonistiska, som i entrén på flygplatsen säkerhetskontrollen flera steg, i väntan på mer långsiktig säkerhetsgruppen. För brandväggen är prestanda och säkerhet verkligen ett par permanenta konflikter, men funktionen av applikationslagret filtrerande brandvägg resultat på de flesta användare tror inte så stora, Microsoft ISA Server 2004 nominella per sekund kan hantera mer än 1000 samtidiga användare, samtidigt som per-session (session) 27Mbps genomströmning. Faktum är att vissa försäljare genom hårdvara (ASIC) för att uppnå program-lager filtrering motor, kan nå närmare linjen skattesats (tolkas som Ethernet-switchar adress gränsen) processorkraft.
5, nya utmaningar
Med applikationslagret filtrerande brandvägg kan bli effektivare i att blockera de nuvarande förfarandena för de flesta virus och attacker, men de nya säkerhetshot uppstår i brandväggen har tagit upp nya utmaningar. Källa för attacken blir mer komplexa, men också allt mer sofistikerade angrepp, den senaste spam och angrepp kod är ett typiskt exempel på integration. Behovet av applikationslagret brandväggsenhet för bättre förståelse innehåll och intellektuella förmågan att skilja, å andra sidan också behöver en brandvägg och andra värdepapper mer enheter och tillämpningar samarbeta effektivt för att uppnå ett effektivare skydd.