2 防火墙概论
从上一节的内容可知,现有的防火墙系统在发展过程中经历了五个阶段 ,逐步像原棉多功能方向发展。但网络中的安全问题层出不穷,光是以来传统的防火墙并不能解决所有问题。
首先,防火墙并不是万能的,也存在许多不足。1.防火墙可以阻断攻击,但不能消灭攻击源。互联网上病毒、木马、恶意试探等等造成的攻击行为络绎不绝。设置得当的防火墙能够阻挡他们,但是无法清除攻击源。2.防火墙不能抵抗最新的未设置策略的攻击漏洞。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。3.防火墙的并发连接数限制容易导致拥塞或者溢出。由于要判断、处理流经防火墙的每一个包,因此防火墙在某些流量大、并发请求多的情况下,很容易导致拥塞,成为整个网络的瓶颈影响性能。而当防火墙溢出的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了。4.防火墙对服务器合法开放的端口的攻击大多无法阻止。5.防火墙对待内部主动发起连接的攻击一般无法阻止。“外紧内松”是一般局域网络的特点。或许一道严密防守的防火墙内部的网络是一片混乱也有可能。通过社会工程学发送带木马的邮件、带木马的URL等方式,然后由中木马的机器主动对攻击者连接,将铁壁一样的防火墙瞬间破坏掉。另外,防火墙内部各主机间的攻击行为,防火墙也只有如旁观者一样冷视而爱莫能助。6.防火墙本身也会出现问题和受到攻击。防火墙也是一个程序,也有着其硬件系统和软件,因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。
虽然有这么多缺点,但是相对于传统的防火墙,目前的智能防火墙已经有了很大的进步。
2.1 传统型防火墙的不足
1.一旦网络数据加密,就无法检测出来
不管我们是在建网站还是在进行其他的程序设置,我们都希望没有任何漏洞出现在我们的应用程序中,如果有加密的网络数据闯进来,那将造成无法预计的损害。因此我们需要把这些都屏蔽在应用程序之外,然而这对传统的防火墙来说是不可行的。因为网络防火墙对加密的网络数据流是不可见的,根本就无法截获并解密,因此传统的网络防火墙不能阻止这样的网络攻击,这对用户的网络安全具有极大的威胁。
2.检测不到加密的程序
不单单是加密数据检测不到,即使是简单的程序加密,防火墙也是无法察觉的,因为现在大多的防火墙都是以静态特征库为参照的,如果遇到的攻击跟特征库里的特征完全匹配,防火墙才会识别并开启防护功能。但是如果攻击程序加密了,即将程序转换形式隐藏其中的攻击代码,那么就无法与静态特征库进行匹配,这样防火墙就无法识别并截获,也就不能阻止该网络攻击。
3.不足以应对复杂的网络环境
现在网络复杂性在不断增加,传统防火墙根本无法适应这么快速的更新变换,下一节将介绍目前网络攻击的方式。
2.2 网络攻击方式
1.窃听
在一般情况下,大部分的网络流量发生在不安全的或“纯文本”格式,它允许谁已经获得对网络的访问的数据路径“收听”或解释(读取)的业务的攻击者。当攻击者被窃听通信,它被称为嗅探或窥探。监控网络窃听的能力通常是管理者面临的最大安全问题的企业。如果没有这样的强加密的加密服务,你的数据可以由其他人阅读的,因为它穿过网络。
2.数据修改
攻击者读取数据,下一个合乎逻辑的步骤就是要改变它。攻击者可以修改数据包中的数据,而无需在发送者或接收者的知识。即使你并不需要所有的通信保密的,你不希望你的任何消息的传输过程中被修改。例如,如果你正在交换采购申请,货物名称,数量,或账单信息,你不希望被修改。 智能防火墙系统核心模块的设计与实现(3):http://www.751com.cn/jisuanji/lunwen_22906.html