防火墻的不足之處_第1頁
防火墻的不足之處_第2頁
防火墻的不足之處_第3頁
防火墻的不足之處_第4頁
全文預覽已結(jié)束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

本文格式為Word版,下載可任意編輯——防火墻的不足之處防火墻學識防火墻的缺乏之處防火墻的缺乏網(wǎng)吧防火墻怎么關閉

防火墻在安好防護中,起到重要作用,但是我們也理應看到它的缺乏之處,下面就讓我給大家說一下防火墻存在著哪里缺乏之處。

防火墻的缺乏之處:

1、無法檢測加密的WEB流量

假設你正在部署一個光鍵的門戶網(wǎng)站,夢想全體的網(wǎng)絡層和應用層的漏洞都被屏蔽在應用程序之外。這個需求,對于傳統(tǒng)的網(wǎng)絡防火墻而言,是個大問題。

由于網(wǎng)絡防火墻對于加密的SSL流中的數(shù)據(jù)是不成見的,防火墻無法急速截獲SSL數(shù)據(jù)流并對其解密,因此無法阻攔應用程序的攻擊,甚至有些網(wǎng)絡防火墻,根本就不供給數(shù)據(jù)解密的功能。

2、普遍應用程序加密后,也能輕易躲過防火墻的檢測

假設你正在部署一個光鍵的門戶網(wǎng)站,夢想全體的網(wǎng)絡層和應用層的漏洞都被屏蔽在應用程序之外。這個需求,對于傳統(tǒng)的網(wǎng)絡防火墻而言,是個大問題。

由于網(wǎng)絡防火墻對于加密的SSL流中的數(shù)據(jù)是不成見的,防火墻無法急速截獲SSL數(shù)據(jù)流并對其解密,因此無法阻攔應用程序的攻擊,甚至有些網(wǎng)絡防火墻,根本就不供給數(shù)據(jù)解密的功能。

3、對于WEB應用程序,防范才能缺乏

網(wǎng)絡防火墻于1990年研發(fā),而商用的Web服務器,那么在一年以后才面世?;跔顟B(tài)檢測的防火墻,其設計原理,是基于網(wǎng)絡層TCP和IP地址,來設置與加強狀態(tài)訪問操縱列表(ACLs,AccessControlLists)。在這一方面,網(wǎng)絡防火墻表現(xiàn)切實特別卓越。

近年來,實際應用過程中,HTTP是主要的傳輸協(xié)議。主流的平臺供給商和大的應用程序供給商,均已轉(zhuǎn)移到基于Web的體系布局,安好防護的目標,不再只是重要的業(yè)務數(shù)據(jù)。網(wǎng)絡防火墻的防護范圍,發(fā)生了變化。

對于常規(guī)的企業(yè)局域網(wǎng)的防范,通用的網(wǎng)絡防火墻仍占有很高的市場份額,持續(xù)發(fā)揮重要作用,但對于新近展現(xiàn)的上層協(xié)議,如XML和SOAP等應用的防范,網(wǎng)絡防火墻就顯得有些力不從心。

由于體系布局的理由,即使是最先進的網(wǎng)絡防火墻,在防范Web應用程序時,由于無法全面操縱網(wǎng)絡、應用程序和數(shù)據(jù)流,也無法截獲應用層的攻擊。由于對于整體的應用數(shù)據(jù)流,缺乏完整的、基于會話(Session)級別的監(jiān)控才能,因此很難預防新的未知的攻擊。

4、應用防護特性,只適用于簡樸處境

目前的數(shù)據(jù)中心服務器,時常會發(fā)生變動,譬如:

★定期需要部署新的應用程序;

★經(jīng)常需要增加或更新軟件模塊;

★QA們經(jīng)常會察覺代碼中的bug,已部署的系統(tǒng)需要定期打補丁。

在這樣動態(tài)繁雜的環(huán)境中,安好專家們需要采用生動的、粗粒度的方法,實施有效的防護策略。

雖然一些先進的網(wǎng)絡防火墻供給商,提出了應用防護的特性,但只適用于簡樸的環(huán)境中。細看就會察覺,對于實際的企業(yè)應用來說,這些特征存在著局限性。在多數(shù)處境下,彈性概念(proof-of-concept)的特征無法應用于現(xiàn)實生活中的數(shù)據(jù)中心上。

譬如,有些防火墻供給商,曾經(jīng)聲稱能夠阻攔緩存溢出:當黑客在欣賞器的URL中輸入太長數(shù)據(jù),試圖使后臺服務崩潰或使試圖非法訪問的時候,網(wǎng)絡防火墻能夠檢測并制止這種處境。

細看就會察覺,這些供給商采用對80端口數(shù)據(jù)流中,針對URL長度舉行操縱的方法,來實現(xiàn)這個功能的。

假設使用這個規(guī)矩,將對全體的應用程序生效。假設一個程序或者是一個簡樸的Web網(wǎng)頁,切實需要涉及到很長的URL時,就要屏蔽該規(guī)矩。

網(wǎng)絡防火墻的體系布局,抉擇了網(wǎng)絡防火墻是針對網(wǎng)絡端口和網(wǎng)絡層舉行操作的,因此很難對應用層舉行防護,除非是一些很簡樸的應用程序。

5、無法擴展深度檢測功能

基于狀態(tài)檢測的網(wǎng)絡防火墻,假設夢想只擴展深度檢測(deepinspection)功能,而沒有相應增加網(wǎng)絡性能,這是不行的。

真正的針對全體網(wǎng)絡和應用程序流量的深度檢測功能,需要空前的處理才能,來完成大量的計算任務,包括以下幾個方面:

★SSL加密/解密功能;

★完全的雙向有效負載檢測;

★確保全體合法流量的正?;?

★廣泛的協(xié)議性能;

這些任務

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論