近日安全專家Steve Taylor及研發(fā)團(tuán)隊(duì)表示，目前的廣域網(wǎng)(WAN)防火墻的防御能力遠(yuǎn)滯后告訴發(fā)展的安全威脅。我們將來(lái)研究下當(dāng)前防火墻，并找出其中一些關(guān)鍵弱點(diǎn)。

當(dāng)前廣域網(wǎng)防火墻的檢測(cè)重點(diǎn)落在監(jiān)測(cè)數(shù)據(jù)包頭。這樣做的原因之一是因?yàn)榉阑饓κ艿教幚砟芰Φ南拗�，防火墻的架�?gòu)是以在行業(yè)標(biāo)準(zhǔn)CPU上運(yùn)行的軟件為基礎(chǔ)。雖然使用行業(yè)標(biāo)準(zhǔn)的CPU有一定優(yōu)勢(shì)，但這些優(yōu)勢(shì)并不包含執(zhí)行數(shù)據(jù)密集型處理的能力。

為了克服這個(gè)局限性，許多當(dāng)前的防火強(qiáng)廠商都通過增加硬件或者加速組件來(lái)提高產(chǎn)品的性能。例如，一些當(dāng)前防火墻增加了入侵防御功能(IPS)或者使用包含深度包檢測(cè)(DPI)技術(shù)的來(lái)檢查可疑的通訊。然而，防火墻受到本身處理能力的限制，使DPI技術(shù)只能應(yīng)用于經(jīng)過防火墻的極少數(shù)數(shù)據(jù)包。

此外，當(dāng)前這一代防火墻做出了兩個(gè)基本的假設(shè)，這兩個(gè)假設(shè)都有問題。第一個(gè)假設(shè)是第一個(gè)數(shù)據(jù)包中包含的信息足以識(shí)別這個(gè)應(yīng)用程序，以及這個(gè)應(yīng)用程序要執(zhí)行的功能。在許多情況下，需要用許多數(shù)據(jù)包才能做出這種識(shí)別，因?yàn)檫@個(gè)應(yīng)用程序的端點(diǎn)能夠協(xié)商改變端口號(hào)或者在一個(gè)連接上執(zhí)行多種功能。

第二個(gè)假設(shè)是擔(dān)心眾所周知的端口的使用。在IP網(wǎng)絡(luò)中，TCP和UDP端口是邏輯連接的端點(diǎn)，提供這種多路機(jī)制讓多個(gè)應(yīng)用程序共享一個(gè)IP網(wǎng)絡(luò)連接。端口號(hào)的范圍是0至65535。從0至1023的端口號(hào)是為系統(tǒng)級(jí)權(quán)限的服務(wù)保留的并且被指定為眾所周知的端口。TCP和UDP都有眾所周知的和注冊(cè)的端口。典型的當(dāng)前這一代的防火墻做出的假設(shè)是這些端口號(hào)總是按照指定使用的。但是，許多應(yīng)用程序(如美國(guó)在線公司的即時(shí)消息軟件)并不使用分配給它們的眾所周知的端口。因此，這些假設(shè)雖然在20年前是正確的，但是，這些假設(shè)在目前卻是不正確的。

專家的警告不難看出，雖然如今防火墻的功能及性能在不斷改變，但要徹底改變防火墻的檢測(cè)能力，必須多方協(xié)同發(fā)展來(lái)提升防火墻的包檢測(cè)效率。

標(biāo)簽： 安全 防火墻 防火墻的功能 權(quán)限 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。