防火墻封阻應(yīng)用攻擊的八項(xiàng)技術(shù)

　你已經(jīng)決心下大力氣搞好應(yīng)用安全嗎？畢竟，例如金融交易、信用卡號碼、機(jī)密資料、用戶檔案等信息，對于企業(yè)來說太重要了。不過這些應(yīng)用實(shí)在太龐大、太復(fù)雜了，最困難的就是，這些應(yīng)用在通過網(wǎng)絡(luò)防火墻上的端口80（主要用于HTTP）和端口443（用于SSL）長驅(qū)直入的攻擊面前暴露無遺。這時防火墻可以派上用場，應(yīng)用防火墻發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的八項(xiàng)技術(shù)如下：

　　深度數(shù)據(jù)包處理

　　深度數(shù)據(jù)包處理有時被稱為深度數(shù)據(jù)包檢測或者語義檢測，它就是把多個數(shù)據(jù)包關(guān)聯(lián)到一個數(shù)據(jù)流當(dāng)中，在尋找攻擊異常行為的同時，保持整個數(shù)據(jù)流的狀態(tài)。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測及重新組裝應(yīng)用流量，以避免給應(yīng)用帶來時延。下面每一種技術(shù)代表深度數(shù)據(jù)包處理的不同級別。

　　TCP/IP終止

　　應(yīng)用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及多種請求，即不同的數(shù)據(jù)流。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶與應(yīng)用保持互動的整個會話期間，能夠檢測數(shù)據(jù)包和請求，以尋找攻擊行為。至少，這需要能夠終止傳輸層協(xié)議，并且在整個數(shù)據(jù)流而不是僅僅在單個數(shù)據(jù)包中尋找惡意模式。

　　SSL終止

　　如今，幾乎所有的安全應(yīng)用都使用HTTPS確保通信的保密性。然而，SSL數(shù)據(jù)流采用了端到端加密，因而對被動探測器如入侵檢測系統(tǒng)（IDS）產(chǎn)品來說是不透明的。為了阻止惡意流量，應(yīng)用防火墻必須終止SSL，對數(shù)據(jù)流進(jìn)行解碼，以便檢查明文格式的流量。這是保護(hù)應(yīng)用流量的最起碼要求。如果你的安全策略不允許敏感信息在未加密的前提下通過網(wǎng)絡(luò)傳輸，你就需要在流量發(fā)送到Web服務(wù)器之前重新進(jìn)行加密的解決方案。

　　URL過濾

　　一旦應(yīng)用流量呈明文格式，就必須檢測HTTP請求的URL部分，尋找惡意攻擊的跡象，譬如可疑的統(tǒng)一代碼編碼（unicode encoding）。對URL過濾采用基于特征的方案，僅僅尋找匹配定期更新的特征、過濾掉與已知攻擊如紅色代碼和尼姆達(dá)有關(guān)的URL，這是遠(yuǎn)遠(yuǎn)不夠的。這就需要一種方案不僅能檢查RUL，還能檢查請求的其余部分。其實(shí)，如果把應(yīng)用響應(yīng)考慮進(jìn)來，可以大大提高檢測攻擊的準(zhǔn)確性。雖然URL過濾是一項(xiàng)重要的操作，可以阻止通常的腳本少年類型的攻擊，但無力抵御大部分的應(yīng)用層漏洞。

　　請求分析

　　
全面的請求分析技術(shù)比單單采用URL過濾來得有效，可以防止Web服務(wù)器層的跨站腳本執(zhí)行（cross-site scripting）漏洞和其它漏洞。全面的請求分析使URL過濾更進(jìn)了一步：可以確保請求符合要求、遵守標(biāo)準(zhǔn)的HTTP規(guī)范，同時確保單個的請求部分在合理的大小限制范圍之內(nèi)。這項(xiàng)技術(shù)對防止緩沖器溢出攻擊非常有效。然而，請求分析仍是一項(xiàng)無狀態(tài)技術(shù)。它只能檢測當(dāng)前請求。正如我們所知道的那樣，記住以前的行為能夠獲得極有意義的分析，同時獲得更深層的保護(hù)。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]