众所周知,应用防火墙或代理确实有优于包过滤型和全状态包检测型(stateful packet inspection)防火墙的地方。虽然这些类型的防火墙可以防止各种网络层的攻击,但它们却无法阻挡利用大多数Web应用程序漏洞进行的攻击。利用这些严重的漏洞,黑客们操纵URL地址就可以直接攻击目标网站。不过,这些防火墙可以通过允许或拒绝特定的应用程序或者应用的特定功能,实现很多精细化的控制。应用防火墙还可以直接验证用户身份,这意味着它允许或拒绝特定用户发出的远程登录命令,而其他防火墙只能控制特定主机的传入请求。
应用层防火墙可以检测数据包的有效荷载根据这些实际内容作出相应决定,还能提供更好的内容过滤能力。它们还可以审查完整的网络数据包,而不仅仅是网络地址和端口,这就使得它们有更强大的日志记录功能,例如可以记录某个特定程序发出的命令这样的日志事件,这对于处理突发安全事件和实施安全策略提供了很有价值的信息。
既然应用层防火墙有这么多明显的安全优点,为什么它却不是默认选项呢?其主要原因在于成本和性能。如果所有进站和出站的网络流量都需要在应用层上进行检测,那么数据在检测前就必须首先通过OSI的七层,而包过滤型和全状态包检测型防火墙在只网络层对流量进行检测。由于防火墙对数据包进行读取和解析必然消耗cpu周期,尤其是解析过程特别耗费CPU资源,所以很有可能形成网络性能的障碍。这也意味着应用层防火墙更容易受到分布式拒绝服务攻击,因此不太适合高带宽或实时应用程序。而它也很可能会成为操作系统里的安全漏洞。
应用层防火墙的另一个缺点就是对每个协议(如HTTP、MTP等)都需要单独的代理程序,因此它对新的网络程序或网络协议的支持很有局限性。虽然大多数防火墙厂商为了应对未定义的网络协议或应用程序都提供了一般的代理程序,但在这种情况下,它往往会完全允许流量通过防火墙,而忽略很多应用层防火墙应做的操作。相比之下,状态包检测防火墙和包过滤防火墙一样,只会对网络性能造成很小的影响,因而可以实现对应用程序的透明和独立。随着客户端或代理数目的增加,可扩充性也成为了的问题。应用层防火墙通常需要网络中的客户端安装专门的软件或更改某些配置,以便能够连接到应用代理。这在一个大的网络里会造成非常大的影响。为了减轻防火墙的负载压力,在对那些及时性要求不高的服务(如e-mail服务以及大部分的网络流量)进行安全处理的时候,可能会需要对部署专门的代理 服务器 ,从而也增加了全部费用。
希望你能明白应用层防火墙并不是任何人都会选择的。那么,你问题里提到的主动模型(positive model)是怎么一回事呢?一个应用层防火墙有两种途径可以实现,一是主动采取措施的主动安全模型(positive security model),另一种是通过与已知攻击特征进行比对来认定攻击行为的被动安全模型(negative security model)。被动安全模型的缺点是:它对新发现的攻击没有防御能力,对特征数据库的更新也完全就是一项与时间赛跑的任务。在被动安全模型里,不能被认定为非法的行为就会被视为合法行为。而主动安全模型则与之不同,它关注的是哪些操作是用户允许的,也就是说,除了已被许可的操作,其它都是非法的。尽管主动安全模型是更好的选择,但是往往这类产品价格更高也更复杂。所以,归结起来,需要对时间和费用进行权衡。
【编辑推荐】
覆盖网络的简介
覆盖网络(overlay network )简单说来覆盖网络就是应用层网络,它是面向应用层的,不考虑或很少考虑网络层,物理层的问题。 覆盖网络允许对没有IP地址标识的目的主机路由信息,例如:Freenet和DHT(分布式哈希表)可以路由信息到一个存储特定文件的结点,而这个结点的IP地址事先并不知道。 比如说,P2P就是一种覆盖网络P2P是集中分散分形概念的同行对等覆盖网络,网络覆盖就是指用户能够接收到网络信号的范围。 比如说网络覆盖10米半径,就是指以发射点为圆心10米半径内的设备都可以收到信号。 通常指无线信号网络,如手机网络,无线网络等设备的有效信号接收范围。
UTM,IDS和防火墙,三者的区别,各有什么优缺点,都用于什么场合?
UTM:根据IDC的定义,UTM是指能够提供广泛的网络保护的设备,它在一个单一的硬件平台下提供了以下的一些技术特征:防火墙、防病毒、入侵检测和防护功能。 IDC的行业分析师们注意到,针对快速增长的混合型攻击(基于互联网的病毒已经开始在应用层发起攻击),需要一种灵活的、整合各种功能的UTM设备来防止这种攻击的快速蔓延。 IDS:IDS是Intrusion Detection System的缩写,即入侵检测系统,主要用于检测Hacker或Cracker通过网络进行的入侵行为。 无须网络流量流经它便可以工作。 IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。 防火墙:一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。 防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。 换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。 具有这样功能的硬件或软件,就是防火墙第一个是技术系统,第二三两个是可以是系统的组成,也可以单毒存在.应用场合:UTM只有大企业才会使用,IDS信息产业相关的中小型企业使用,防火墙几乎每个都会人用.组成属性来分,UTM包括IDS和防火墙等.在网络中,IDS位于防火墙之前.防火墙一般设置在网关,必要时过滤双向数据.
浏览器中所有的东西都打不开怎么办
打不开网页的原因及处理办法:1.与设置代理服务器有关 。 有时出于某些方面考虑,在浏览器里设置了代理服务器(控制面板--Internet选项—连接—局域网设置—为LAN使用代理服务器),设置代理服务器是不影响QQ联网的,因为QQ用的是4000端口,而访问互联网使用的是80或8080端口。 这就是很多人不明白为什么QQ能上,而网页不能打开的原因。 而代理服务器一般不是很稳定,有时候能上,有时候不能上。 如果有这样设置的,把代理取消即可。 2.病毒感染。 表现在打开IE时,在IE界面的左下框里提示:正在打开网页,但半天没响应。 在任务管理器里查看进程,把鼠标放在任务栏上,按右键—任务管理器—进程,看看CPU的占用率如何,如果是100%,可以肯定,是感染了病毒,查查是哪个进程占用了CPU资源,找到后,然后点击结束,如果不能结束,则要启动到安全模式下把该东东删除,还要进入注册表里:开始—运行,输入regedit,在注册表对话框里,点编辑—查找,输入那个程序名,找到后,点鼠标右键删除,然后再进行几次搜索,就能彻底删除干净。 服务器解释出错 。 DNS即域名服务器(Domain name Server),它把域名转换成计算机能够识别的IP地址,若DNS服务器出错,则无法进行域名解释,自然就不能上网。 这种情况有时候是网络服务接入商即ISP的问题,可打电话咨询ISP;有时候则是路由器或网卡的问题,无法与ISP的DNS服务连接。 此时可把路由器关一会再开,或者重新设置路由器。 或者是网卡无法自动搜寻到DNS的服务器地址,可以尝试用指定的DNS服务器地址。 在网络的属性里进行:控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址。 不同的ISP有不同的DNS地址。 4.系统文件丢失导致IE不能正常启动 。 原因有:系统的不稳定 表现为死机频繁、经常莫名重启、非法关机造成系统文件丢失;软硬件的冲突 常表现为安装了某些程序引起网卡驱动的冲突或与IE的冲突;病毒的侵扰 导致系统文件损坏或丢失。 如果是第一种情况,可尝试修复系统,放入原安装光盘,一定要原安装光盘,在开始—运行里输入sfc /scanow,按回车。 如果是第二种情况,可以把最近安装的硬件或程序卸载,2K或XP的系统可以在机器启动后,长按F8,进入启动菜单,选择“最后一次正确的配置”,若是XP系统,还可以利用系统的还原功能,一般能很快解决问题。 如果是XP的系统因超线程CPU的原因,可以在BIOS里禁用超线程,或升级到SP2。 如果是第三种情况,则要对系统盘进行全面的查杀病毒。 损坏。 以上方法若果都不奏效,有可能是IE的内核损坏,应重装IE。
发表评论