网络7层中的防火墙和防御程序

日期: 2008-06-02 作者:Michael Cobb 来源:TechTarget中国 英文

7层是OSI(开放系统互联)模型的应用层。它支持HTTP和SMTP等应用程序和最终用户处理。在这一层实施攻击是一个安全挑战,因为恶意代码能够伪装成合法的客户请求和正常的应用数据。   例如,一个标准的网络防火墙也许只允许在TCP端口80进行HTTP通讯。

但是,SQl注入攻击将被当作合法的HTTP通讯允许通过,同时间谍软件能够使用HTTP以外的协议与监听80端口的外部服务器建立一个通讯频道。这就意味着数据包过滤和状态检查等传统的边界防御技术已经不够用了,因为这些技术不能区分恶意的和非恶意的请求和数据。   因此,在抵御7层攻击的战争中,提供应用层过滤的防火墙已经成为选择的工具。与传统的防火墙相比……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

7层是OSI(开放系统互联)模型的应用层。它支持HTTP和SMTP等应用程序和最终用户处理。在这一层实施攻击是一个安全挑战,因为恶意代码能够伪装成合法的客户请求和正常的应用数据。

  例如,一个标准的网络防火墙也许只允许在TCP端口80进行HTTP通讯。但是,SQl注入攻击将被当作合法的HTTP通讯允许通过,同时间谍软件能够使用HTTP以外的协议与监听80端口的外部服务器建立一个通讯频道。这就意味着数据包过滤和状态检查等传统的边界防御技术已经不够用了,因为这些技术不能区分恶意的和非恶意的请求和数据。

  因此,在抵御7层攻击的战争中,提供应用层过滤的防火墙已经成为选择的工具。与传统的防火墙相比,应用层过滤设备肯定能够提供更好的内容过滤功能。它们有能力检查数据包的负荷并且根据内容做出决策。这就意味着应用层过滤系统能够允许或者拒绝具体应用请求或者指令,对网络通讯提供更精细的控制。例如,它们能够允许或者拒绝一个特定用户发进来的具体的Telnet指令,而其它防火墙仅控制一个特定主机的普通的入网的请求。许多应用层防火墙允许你创建一个过滤器进行拦截、分析或者修改针对你的网络的通讯。这种增加的具体功能可以更容易地保护重要的资产不受应用层攻击,因为创建的规则能够用来封锁某种类型的通讯,尽管恶意通讯正在使用一个“允许的端口”。这不仅能够阻止有针对性的攻击,而且还能阻止蠕虫和病毒的攻击,即使没有已知的攻击特征也能够阻止这些攻击。

  但是,外部威胁还不是你的机构面临的惟一担心的问题还有一些能够穿越7层的内部威胁。应用层过滤系统不能直接识别用户,但是,能够使用过滤器实施用于查看、分析、封锁、重新定向或者修改通讯的安全政策规则。这阻止了员工非故意或者恶意的行动。例如,你可以设置一个应用层过滤器阻止员工从互联网下载可能有害的程序或者阻止P2P文件交换服务。

  应用层过滤系统深入的数据包检查的一个重要方面是经常被忽略,因为他们超越了网络地址和端口的范围来检查整个网络的数据包,他们能够制作非常详细的记录。当处理安全事件和执行政策的时候,这些记录能够提供非常有价值的信息,经常提供可能发出即将发生或者实际发生的攻击警报的数据。

  虽然应用层防火墙能够分析和封锁恶意通讯,但是,必要的处理能力使这种防火墙价格更昂贵,比基本的网络设备速度更慢。在你的网络需要连接设备和局域网网段的每一个地方都配置应用层防火墙是没有意思和不现实的。相反,网络交换机安全在控制哪一台设备可以连接和它们在你的网络中可以看到什么能够发挥重要的作用。交换机一般是2层网络设备,主要控制设备最初接入网络。交换机还能够用来创建虚拟局域网。虚拟局域网可以提供性能、控制广播通讯和部门以及群隔离。在企业级交换机上还有端口安全。这是能够确定有多少台设备和哪一台设备能够连接到你的交换机端口的极好的方法,阻止人们附加无线接入点,绕过你的安全政策。

  虽然交换机安全是一种劳动密集型工作并且需要不间断的管理,但是,这是建立纵深防御保护你的网络应用的一个重要的方面。与交换机和应用层一起使用的是保护7层的关键设备。但是,不要忘了感谢你能够从你的防御得到的安全程度。钓鱼攻击和社交工程攻击仍然能够绕过你的硬件和软件安全措施。这意味着同所有的信息安全的努力一样,你的7层防御的最后一道防线是员工对安全的了解。

  为了知道要记录什么和确实要保护什么,你需要把你的数据分类。通过理解什么是重要的和什么是不重要的,你可以确定你需要什么样的防火墙规则以及你的防火墙要记录什么信息。这适用于入网和出网的通讯。

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 从HTTP迁移至HTTPS需要注意什么?

    HTTPS安全性更高,不过从原来的HTTP迁移至HTTPS的过程非常困难。那么,迁移过程中会碰到哪些挑战?企业又该如何解决?

  • 七步解决关键SSL安全问题及漏洞

    近年来,安全套接字层(SSL)技术已经有所改进,但同时也出现新的漏洞。那么如何解决关键SSL安全问题及漏洞呢?总共分七步……

  • 为什么单靠网络外围安全行不通?

    近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…