防火墻安全選擇策略

防火墻安全選擇策略在6月份的時候有這樣一則新聞：美國科學家表示，很多網站目前都面臨一種新形式網絡攻擊“HTTP懇求走私”的威逼，這種攻擊將有害的數據包隱蔽在看似合法的數據包中，通過HTTP懇求破壞網站。

專家發(fā)覺，“HTTP懇求走私”最簡潔的一種攻擊形式是添加多余的“內容長度的頭信息標簽”。通常，當掃瞄器發(fā)出網頁懇求時，它會發(fā)送包含具體請求內容的數據包。一般狀況下，數據包中只包含一個“內容長度的頭信息標簽”，以保證需要處理的數據大小。而在“HTTP懇求走私”中，可能會消失兩個以上“內容長度的頭信息標簽”?？茖W家發(fā)覺，不同的網站在遭到這種攻擊時會作出不同的反應，很可能會造成處理錯誤。另外，“HTTP懇求走私”能夠突破平安過濾器，可以將新網站非法上載到網站緩沖區(qū)中。

專家認為，黑客可能很快就會利用“HTTP懇求走私”，對網站進行大規(guī)模攻擊。最好的防范措施，就是嚴格遵循超文本數據傳輸協(xié)議的各項要求。同時，專家也認為，之所以消失“HTTP懇求走私”，說明超文本傳輸協(xié)議存在漏洞，應對其進行修改。

這條新聞所提到的攻擊只是網站所面對的眾多攻擊中的比較新的一個。隨著互聯(lián)網的飛速進展，Web應用也日益增多。今日，商業(yè)交易的各個部分都正在向Web上轉移，但每增加一個新的基于Web的應用系統(tǒng)，都會導致之前處于愛護狀態(tài)下的后端系統(tǒng)直接連接到互聯(lián)網上，最終的結果就是將公司的關鍵數據置于外界攻擊之下。

據Gartner調查顯示，現(xiàn)在有75%的攻擊都是針對Web應用層發(fā)起的。尤其是金融服務業(yè)成為了眾矢之的，而攻擊者的主要目的就是直接獵取個人數據。

據美國計算機平安協(xié)會(CSI)/美國聯(lián)邦調查局(FBI)的討論表明，在接受調查的公司中，2024年有52%的公司的系統(tǒng)遭受過外部攻擊(包括系統(tǒng)入侵、濫用Web應用系統(tǒng)、網頁置換、盜取私人信息及拒絕服務等等)，這些攻擊給269家受訪公司帶來的經濟損失超過1.41億美元，但事實上他們中有98%的公司都裝有防火墻。

為什么防火墻沒有防住攻擊?由于他們安裝的是網絡防火墻，而真正能防備這些攻擊的是應用防火墻。早在2024年，IDC就曾在報告中認為，“網絡防火墻對應用層的平安已起不到什么作用了，由于為了確保通信，網絡防火墻內的端口都必需處于開放狀態(tài)?！?/p>

從概念走向有用

應用防火墻其實是個平安“老兵”了。在十幾年前，就已經消失了應用防火墻的概念。但是為什么遲遲沒有產品消失呢?華城技術有限公司負責人楊磊說：“由于系統(tǒng)的硬件平臺跟不上。以前，網絡層數據的轉發(fā)處理就占用了CPU大量的資源，CPU根本無法再做應用層的處理;而可以進行高速網絡數據處理的ASIC技術又處理不了應用層數據的簡單性，所以應用防火墻沒有誕生的條件?！彪S著NP(網絡處理器)性能的快速提升，特殊是基于通用CPU的多核NP體系(例如Broad的雙核NP1250，將2個64位MIPS芯片集成在一塊處理器芯片里面，而且后續(xù)推出了集成4個CPU的處理器;而Cavium公司也推出了集成16個MIPSCPU和硬件加速處理單元的網絡服務處理器OCTEON)產生之后，利用多CPU的并行處理力量和軟件的靈活性，應用防火墻可以實現(xiàn)對簡單應用的平安處理，并且能夠達到千兆線速的性能。

在2024年，應用防火墻最終沖破概念的圍城，真正實現(xiàn)了產品化。國外有Teros、Sanctum、Netcontinuum和Kavado等廠商推出了Web應用防火墻，目前在國內記者看到的產品僅僅有華城技術(secnumen)的AppRock和F5網絡公司的TrafficShield.

現(xiàn)在我們所說的應用防火墻，一般是指Web應用防火墻和數據庫防火墻(也叫SQL防火墻)，而現(xiàn)在我們所能見到的產品基本都是Web應用防火墻。

應用前面的銅墻鐵壁

安裝了網絡防火墻和IDS，就能抵抗應用層攻擊嗎?不能。由于在愛護應用方面，網絡防火墻和IDS各有不足。

網絡防火墻有洞

網絡防火墻技術的進展已經特別成熟，也是目前網絡平安技術中最有用和作用最大的技術。但是，作為目前應用最為廣泛的HTTP服務器等應用服務器，通常是部署在防火墻的DMZ區(qū)域，防火墻完全向外部網絡開放HTTP應用端口，這種方式對于HTTP應用沒有任何的愛護作用。即使使用HTTP代理型的防火墻，防火墻也只是驗證HTTP協(xié)議本身的合法性，完全不能理解HTTP協(xié)議所承載的數據，也無從推斷對HTTP服務器的訪問行為是否合法。攻擊者知道正面攻破網絡防火墻非常困難，于是從簡潔的端口掃描攻擊轉向通過應用層協(xié)議進入企業(yè)內部，目前，利用網上隨處可見的攻擊軟件，攻擊者不需要對網絡協(xié)議有深厚的理解，即可完成諸如更換Web網站主頁、盜取管理員密碼、破壞整個網站數據等攻擊。而這些攻擊過程中產生的網絡層數據，和正常數據沒有什么區(qū)分。一個最簡潔的例子就是在懇求中包含SQL注入代碼，或者提交可以完成獵取其他用戶認證信息的跨站腳本，這些數據不管是在傳統(tǒng)防火墻所處理的網絡層和傳輸層，還是在代理型防火墻所處理的協(xié)議會話層，都會認為是合法的。

明白了防火墻的工作原理，我們就知道，對于應用層攻擊，網絡防火墻是無能為力的。

入侵檢測有限

目前最成熟的入侵檢測技術就是攻擊特征檢測。入侵檢測系統(tǒng)首先建立一個包含目前大多已知攻擊特征的數據庫，然后檢測網絡數據中的每一個報文，推斷是否含有數據庫中的任何一個攻擊特征，假如有，則認為發(fā)生相應的攻擊，否則認為是合法的數據。

入侵檢測系統(tǒng)作為防火墻的有力補充，加強了網絡的平安防備力量。但是，入侵檢測技術的作用存在肯定的局限性。由于需要預先構造攻擊特征庫來匹配網絡數據，對于未知攻擊和不能有效提取攻擊特征的攻擊，入侵檢測系統(tǒng)不能檢測和防備。另外就是其技術實現(xiàn)的沖突，假如需要防備更多的攻擊，那么就需要許多的規(guī)章，但是隨著規(guī)章的增多，系統(tǒng)消失的虛假報告(對于入侵防備系統(tǒng)來說，會產生中斷正常連接的問題)率就會上升，同時，系統(tǒng)的效率會降低。

對于應用攻擊，入侵檢測系統(tǒng)可以有效的防備部分攻擊，但不是全部。

應用防火墻有效

網絡面臨的很多平安問題單靠網絡防火墻是無法解決的，必需通過一種全新設計的高性能平安代理專用設備來協(xié)作網絡防火墻。詳細來說，利用網絡防火墻阻擋外面的端口掃描攻擊，利用應用平安防護技術，深層管理和掌握由用戶訪問外部資源而引起的應用層攻擊，解決針對應用的、具有破壞性的簡單攻擊。

應用防火墻真正實現(xiàn)了對網絡應用的愛護，是傳統(tǒng)平安技術的有效補充。應用防火墻可以阻擋針對Web應用的攻擊，而不僅僅是驗證HTTP協(xié)議。這些攻擊包括利用特別字符或通配符修改數據的數據攻擊、設法得到命令串或規(guī)律語句的規(guī)律內容攻擊，以及以賬戶、文件或主機為主要目標的目標攻擊。2024年所消失的Web應用10大漏洞，應用防火墻均可以防備，未知攻擊也無法越過應用防火墻。

業(yè)界標準的應用防火墻一般采納主動平安技術實現(xiàn)對應用的愛護。主動平安技術是指建立正面規(guī)章集，也就是說明哪些行為和訪問是合法的規(guī)章描述。對于接收到的應用數據(從網絡協(xié)議還原出來的應用數據，不是數據報文頭)，推斷是否符合合法規(guī)章。由于