尺有所短--迷信防火墙者看过来__网络安全频道

当前位置：eNet硅谷动力 > 网络安全频道 > 防火墙栏目

尺有所短--迷信防火墙者看过来

2004-09-16 10:17 作者：沈文来源：赛迪网-中国计算机报 [收藏到E起摘]

【编者按】
　　　　单凭防火墙再也不足以保护网上资产。如今，黑客及其攻击策略是越来越精明、越来越危险。当前的一大威胁就是应用层攻击，这类攻击可以偷偷潜入防火墙、直至潜入Web应用。没错，这类攻击有不少喜欢把宝贵的客户数据作为下手目标。

　　单凭防火墙再也不足以保护网上资产。如今，黑客及其攻击策略是越来越精明、越来越危险。当前的一大威胁就是应用层攻击，这类攻击可以偷偷潜入防火墙、直至潜入Web应用。没错，这类攻击有不少喜欢把宝贵的客户数据作为下手目标。

　　那么，为什么普通防火墙阻止不了这类攻击呢？因为这类攻击伪装成正常流量，没有特别大的数据包，地址和内容也没有可疑的不相配，所以不会触发警报。最让人害怕的一个例子就是SQL指令植入式攻击（SQL injection）。在这种攻击中，黑客利用你自己的其中一张HTML表单，未经授权就查询数据库。另一种威胁就是命令执行。只要Web应用把命令发送到外壳程序，狡猾的黑客就可以在服务器上随意执行命令。

　　另一些攻击比较简单。譬如说，HTML注释里面往往含有敏感信息，包括不谨慎的编程人员留下的登录信息。于是，针对应用层的攻击手段，从篡改cookies到更改HTML表单里面的隐藏字段，完全取决于黑客的想象力。不过好消息是，大多数这类攻击是完全可以阻止的。

　　如果结合使用，两种互为补充的方案可以提供稳固防线。首先，使用应用扫描器彻底扫描你的Web应用，查找漏洞。然后，使用Web应用防火墙阻止不法分子闯入。

　　应用扫描器基本上可以对你的服务器发动一系列模拟攻击，然后汇报结果。KaVaDo ScanDo、Sanctum AppScan Audit和SPI Dynamics在详细列出缺陷、建议补救方法方面的功能都相当全面。AppScan Audit尤其值得关注，因为这款产品具有事后检查功能，可以帮助编程人员在编制代码时就查出漏洞。不过，这些工具包没有一款比得上安全专业人士的全面审查。

　　一旦你设法堵住了漏洞，接下来就是部署Web应用防火墙。这类防火墙的工作方式很有意思：弄清楚进出应用的正常流量的样子，然后查出不正常流量。为此，Web应用防火墙必须比普通防火墙更深层地检查数据包。Check Point在这方面最出名，不过KaVaDo、NetContinuum、Sanctum和Teros等其它厂商的名气相对要小。这类防火墙有的采用软件，有的采用硬件，还有一些则兼而有之。不过别误以为这类防火墙是即插即用的，即便采用硬件的也不能。与入侵检测系统一样，你也要认真调整Web应用防火墙，以减少误报，又不让攻击潜入进来。

　　由于垃圾邮件以及越来越狡猾的攻击，如果您以为安装防火墙就万事大吉，高枕无忧的话，您就应该好好想想上面所说您该如何应对。

　　

【责任编辑张洪】


投稿信箱：	内容合作：010—65245588—3137

　

　信息化手册

·	专家教你QQ聊天防盗五大绝
·	校园网如何部署GSN全局安
·	什么是CIO？
·	浅谈CRM系统应用中的四大
·	架构、构件、组件、框架、
·	DSM领域定义建模和MDA模型
·	企业信息化管理“新领域”
·	软件测试步骤介绍
·	影响软件测试效率的因素
·	软件测试的基本原则

　信息化查询

应用分类：

重点项目

ERP CRM 电子政务 HR 无线网络安全服务器存储 VoIP 智能卡视频会议
财务管理远程教育网络建设

重点行业

电信金融证券广电政府
服装石化汽车邮政
制造业房地产医疗商业
宾馆旅游教育民航工商税务公安电力保险仓储海关人事其它

【对此感兴趣】【到论坛发表评论】【 E-mail给朋友】【回频道首页】【关闭窗口】

专
题
回
顾

垃圾邮件
何时不再来

宽待接入方式
一览

DDos
攻击分析与防御

政府采购
打开节能绿色通道

新媒体梦想
照进手机电视的现实

从选型到实施
全面解析CRM

信息化优秀案例

2005 信息化最具影响力品牌
——思科政府网络安全解决方案

2005 物流行业专业服务奖
——金蝶物流服务行业解决方案

2005 制造行业最佳项目实施奖
——神州数码PDM系统应用案例

2005 教育信息化优秀服务商
——NEC校园网络建设成功案例

1、蠕虫Win32/Pipown注入winlogon.

2、病毒Win32/Seresp改变URL 妨碍用

3、“泽拉丁变种JR”发送垃圾邮件让

4、“QQ通行证变种YRV”窃取用户QQ

5、蠕虫Win32.Looked.KP定期下载运

6、冒充“超级兔子” 突破QQ软键盘

7、自动运行木马下载器变种YTZ通过

8、“杀软禁闭者204800”改系统时间

9、微软承认Excel 2007存在漏洞不

10、Cisco Unified MeetingPlace跨站

精彩文章推荐

1、手机辐射标准有望今年年内出台

2、上海有线互动电视计划明年推广

3、中电华通:运营3.5GHz的机遇来临

4、夺三项目 WAPI联盟完成产业布局

5、专家称：要警惕WCDMA势力封杀TD

6、大唐电信投入13亿元担保豪赌3G

7、把握用户需求是IPTV成功的关键

8、美宽带市场落后于世界先进水平

9、黄金周用手机WAP可订购小额保险

10、互联网改变了电信业的游戏规则

eNet商城促销

AP与Gateway双模支持WDS及POE供电

48个10/100Mbps快速以太网端口

GPRS上网卡；最高传送速度85.6Kbp

极具性价比防火墙中小企业最佳选择

热门关键字：笔记本 | 手机 | 笔记本电脑 | 数码 | 数码相机 | 服务器| 主板 | CPU | 音箱 | 显示器 | 一体机 | 服务器 | 信息化 | 解决方案 | 游戏

关于硅谷动力 | 广告服务 | 版权声明 | 加入硅谷动力 | 联系我们 | 建议/投诉 | 网站导航 | 加入收藏

网站合作、内容监督、商务咨询、投诉建议：010-65245588
合作建议：hezuo@mail.enet.com.cn
Copyright © 1998--2008 硅谷动力公司版权所有京ICP证000044号