防火墙保障安全选择策略
来源:不详 责任编辑:栏目编辑 发表时间:2013-07-01 21:42 点击:次
在6月份的时候有这样一则新闻:美国科学家表示,许多网站目前都面临一种新形式网络攻击——“HTTP请求走私”的威胁,这种攻击将有害的数据包隐藏在看似合法的数据包中,通过HTTP请求破坏网站。
专家发现,“HTTP请求走私”最简单的一种攻击形式是添加多余的“内容长度的头信息标签”。通常,当浏览器发出网页请求时,它会发送包含详细请 求内容的数据包。一般情况下,数据包中只包含一个“内容长度的头信息标签”,以保证需要处理的数据大小。而在“HTTP请求走私”中,可能会出现两个以上 “内容长度的头信息标签”。科学家发现,不同的网站在遭到这种攻击时会作出不同的反应,很可能会造成处理错误。另外,“HTTP请求走私”能够突破安全过 滤器,可以将新网站非法上载到网站缓冲区中。
专家认为,黑客可能很快就会利用“HTTP请求走私”,对网站进行大规模攻击。最好的防范措施,就是严格遵循超文本数据传输协议的各项要求。同时,专家也认为,之所以出现“HTTP请求走私”,说明超文本传输协议存在漏洞,应对其进行修改。
这条新闻所提到的攻击只是网站所面对的众多攻击中的比较新的一个。随着互联网的飞速发展,Web应用也日益增多。今天,商业交易的各个部分都正在 向Web上转移,但每增加一个新的基于Web的应用系统,都会导致之前处于保护状态下的后端系统直接连接到互联网上,最后的结果就是将公司的关键数据置于 外界攻击之下。
据Gartner调查显示,现在有75%的攻击都是针对Web应用层发起的。尤其是金融服务业成为了众矢之的,而攻击者的主要目的就是直接获取个人数据。
据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的系统遭受过外部攻击(包 括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们 中有98%的公司都装有防火墙。
为什么防火墙没有防住攻击?因为他们安装的是网络防火墙,而真正能防御这些攻击的是应用防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的端口都必须处于开放状态。”
从概念走向实用
应用防火墙其实是个安全“老兵”了。在十几年前,就已经出现了应用防火墙的概念。但是为什么迟迟没有产品出现呢?华城技术有限公司负责人杨磊说: “因为系统的硬件平台跟不上。以前,网络层数据的转发处理就占用了CPU大量的资源,CPU根本无法再做应用层的处理;而可以进行高速网络数据处理的 ASIC技术又处理不了应用层数据的复杂性,所以应用防火墙没有诞生的条件。”随着NP(网络处理器)性能的迅速提升,特别是基于通用CPU的多核NP 体系(例如Broadcom的双核NP 1250,将2个64位MIPS芯片集成在一块处理器芯片里面,而且后续推出了集成4个CPU的处理器;而 Cavium公司也推出了集成16个MIPS CPU和硬件加速处理单元的网络服务处理器OCTEON)产生之后,利用多CPU的并行处理能力和软件的灵 活性,应用防火墙可以实现对复杂应用的安全处理,并且能够达到千兆线速的性能。
在2004年,应用防火墙终于冲破概念的围城,真正实现了产品化。国外有Teros、Sanctum、Netcontinuum和Kavado等 厂商推出了Web应用防火墙,目前在国内记者看到的产品仅仅有华城技术(secnumen)的AppRock和F5网络公司的 TrafficShield.
现在我们所说的应用防火墙,一般是指Web应用防火墙和数据库防火墙(也叫SQL防火墙),而现在我们所能见到的产品基本都是Web应用防火墙。
应用前面的铜墙铁壁
安装了网络防火墙和IDS,就能抵挡应用层攻击吗?不能。因为在保护应用方面,网络防火墙和IDS各有不足。
网络防火墙有洞
网络防火墙技术的发展已经非常成熟,也是目前网络安全技术中最实用和作用最大的技术。但是,作为目前应用最为广泛的HTTP服务器等应用服务器, 通常是部署在防火墙的DMZ区域,防火墙完全向外部网络开放HTTP应用端口,这种方式对于HTTP应用没有任何的保护作用。即使使用HTTP代理型的防 火墙,防火墙也只是验证HTTP协议本身的合法性,完全不能理解HTTP协议所承载的数据,也无从判断对HTTP服务器的访问行为是否合法。攻击者知道正 面攻破网络防火墙十分困难,于是从简单的端口扫描攻击转向通过应用层协议进入企业内部,目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议有深厚 的理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。一个最 简单的例子就是在请求中包含SQL注入代码,或者提交可以完成获取其他用户认证信息的跨站脚本,这些数据不管是在传统防火墙所�
专家发现,“HTTP请求走私”最简单的一种攻击形式是添加多余的“内容长度的头信息标签”。通常,当浏览器发出网页请求时,它会发送包含详细请 求内容的数据包。一般情况下,数据包中只包含一个“内容长度的头信息标签”,以保证需要处理的数据大小。而在“HTTP请求走私”中,可能会出现两个以上 “内容长度的头信息标签”。科学家发现,不同的网站在遭到这种攻击时会作出不同的反应,很可能会造成处理错误。另外,“HTTP请求走私”能够突破安全过 滤器,可以将新网站非法上载到网站缓冲区中。
专家认为,黑客可能很快就会利用“HTTP请求走私”,对网站进行大规模攻击。最好的防范措施,就是严格遵循超文本数据传输协议的各项要求。同时,专家也认为,之所以出现“HTTP请求走私”,说明超文本传输协议存在漏洞,应对其进行修改。
这条新闻所提到的攻击只是网站所面对的众多攻击中的比较新的一个。随着互联网的飞速发展,Web应用也日益增多。今天,商业交易的各个部分都正在 向Web上转移,但每增加一个新的基于Web的应用系统,都会导致之前处于保护状态下的后端系统直接连接到互联网上,最后的结果就是将公司的关键数据置于 外界攻击之下。
据Gartner调查显示,现在有75%的攻击都是针对Web应用层发起的。尤其是金融服务业成为了众矢之的,而攻击者的主要目的就是直接获取个人数据。
据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的系统遭受过外部攻击(包 括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们 中有98%的公司都装有防火墙。
为什么防火墙没有防住攻击?因为他们安装的是网络防火墙,而真正能防御这些攻击的是应用防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的端口都必须处于开放状态。”
从概念走向实用
应用防火墙其实是个安全“老兵”了。在十几年前,就已经出现了应用防火墙的概念。但是为什么迟迟没有产品出现呢?华城技术有限公司负责人杨磊说: “因为系统的硬件平台跟不上。以前,网络层数据的转发处理就占用了CPU大量的资源,CPU根本无法再做应用层的处理;而可以进行高速网络数据处理的 ASIC技术又处理不了应用层数据的复杂性,所以应用防火墙没有诞生的条件。”随着NP(网络处理器)性能的迅速提升,特别是基于通用CPU的多核NP 体系(例如Broadcom的双核NP 1250,将2个64位MIPS芯片集成在一块处理器芯片里面,而且后续推出了集成4个CPU的处理器;而 Cavium公司也推出了集成16个MIPS CPU和硬件加速处理单元的网络服务处理器OCTEON)产生之后,利用多CPU的并行处理能力和软件的灵 活性,应用防火墙可以实现对复杂应用的安全处理,并且能够达到千兆线速的性能。
在2004年,应用防火墙终于冲破概念的围城,真正实现了产品化。国外有Teros、Sanctum、Netcontinuum和Kavado等 厂商推出了Web应用防火墙,目前在国内记者看到的产品仅仅有华城技术(secnumen)的AppRock和F5网络公司的 TrafficShield.
现在我们所说的应用防火墙,一般是指Web应用防火墙和数据库防火墙(也叫SQL防火墙),而现在我们所能见到的产品基本都是Web应用防火墙。
应用前面的铜墙铁壁
安装了网络防火墙和IDS,就能抵挡应用层攻击吗?不能。因为在保护应用方面,网络防火墙和IDS各有不足。
网络防火墙有洞
网络防火墙技术的发展已经非常成熟,也是目前网络安全技术中最实用和作用最大的技术。但是,作为目前应用最为广泛的HTTP服务器等应用服务器, 通常是部署在防火墙的DMZ区域,防火墙完全向外部网络开放HTTP应用端口,这种方式对于HTTP应用没有任何的保护作用。即使使用HTTP代理型的防 火墙,防火墙也只是验证HTTP协议本身的合法性,完全不能理解HTTP协议所承载的数据,也无从判断对HTTP服务器的访问行为是否合法。攻击者知道正 面攻破网络防火墙十分困难,于是从简单的端口扫描攻击转向通过应用层协议进入企业内部,目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议有深厚 的理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。一个最 简单的例子就是在请求中包含SQL注入代码,或者提交可以完成获取其他用户认证信息的跨站脚本,这些数据不管是在传统防火墙所�
相关新闻>>
最新推荐更多>>>
- 发表评论
-
- 最新评论 更多>>