【用防火墻封阻應(yīng)用攻擊的八項(xiàng)技術(shù)】你已經(jīng)決心下大力氣搞好應(yīng)用安全嗎?畢竟，例如金融交易、信用卡號(hào)碼、機(jī)密資料、用戶(hù)檔案等信息，對(duì)于企業(yè)來(lái)說(shuō)太重要了 。不過(guò)這些應(yīng)用實(shí)在太龐大、太復(fù)雜了，最困難的就是，這些應(yīng)用在通過(guò)網(wǎng)絡(luò)防火墻上的端口80 (主要用于HTTP)和端口443(用于SSL)長(zhǎng)驅(qū)直入的攻擊面前暴露無(wú)遺 。這時(shí)防火墻可以派上用場(chǎng)，應(yīng)用防火墻發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的八項(xiàng)技術(shù)如下:
深度數(shù)據(jù)包處理
深度數(shù)據(jù)包處理有時(shí)被稱(chēng)為深度數(shù)據(jù)包檢測(cè)或者語(yǔ)義檢測(cè)，它就是把多個(gè)數(shù)據(jù)包關(guān)聯(lián)到一個(gè)數(shù)據(jù)流當(dāng)中，在尋找攻擊異常行為的同時(shí)，保持整個(gè)數(shù)據(jù)流的狀態(tài) 。深度數(shù)據(jù)包處理要求以極高的速度分析、檢測(cè)及重新組裝應(yīng)用流量，以避免給應(yīng)用帶來(lái)時(shí)延 。下面每一種技術(shù)代表深度數(shù)據(jù)包處理的不同級(jí)別 。
TCP/IP終止
應(yīng)用層攻擊涉及多種數(shù)據(jù)包，并且常常涉及多種請(qǐng)求，即不同的數(shù)據(jù)流 。流量分析系統(tǒng)要發(fā)揮功效，就必須在用戶(hù)與應(yīng)用保持互動(dòng)的整個(gè)會(huì)話(huà)期間，能夠檢測(cè)數(shù)據(jù)包和請(qǐng)求，以尋找攻擊行為 。至少，這需要能夠終止傳輸層協(xié)議，并且在整個(gè)數(shù)據(jù)流而不是僅僅在單個(gè)數(shù)據(jù)包中尋找惡意模式 。
SSL終止
如今，幾乎所有的安全應(yīng)用都使用HTTPS確保通信的保密性 。然而，SSL數(shù)據(jù)流采用了端到端加密，因而對(duì)被動(dòng)探測(cè)器如入侵檢測(cè)系統(tǒng)(IDS)產(chǎn)品來(lái)說(shuō)是不透明的 。為了阻止惡意流量，應(yīng)用防火墻必須終止SSL，對(duì)數(shù)據(jù)流進(jìn)行解碼，以便檢查明文格式的流量 。這是保護(hù)應(yīng)用流量的最起碼要求 。如果你的安全策略不允許敏感信息在未加密的前提下通過(guò)網(wǎng)絡(luò)傳輸，你就需要在流量發(fā)送到Web服務(wù)器之前重新進(jìn)行加密的解決方案 。
URL過(guò)濾
一旦應(yīng)用流量呈明文格式，就必須檢測(cè)HTTP請(qǐng)求的URL部分，尋找惡意攻擊的跡象，譬如可疑的統(tǒng)一代碼編碼(unicode encoding) 。對(duì)URL過(guò)濾采用基于特征的方案，僅僅尋找匹配定期更新的特征、過(guò)濾掉與已知攻擊如紅色代碼和尼姆達(dá)有關(guān)的URL，這是遠(yuǎn)遠(yuǎn)不夠的 。這就需要一種方案不僅能檢查RUL，還能檢查請(qǐng)求的其余部分 。其實(shí)，如果把應(yīng)用響應(yīng)考慮進(jìn)來(lái)，可以大大提高檢測(cè)攻擊的準(zhǔn)確性 。雖然URL過(guò)濾是一項(xiàng)重要的操作，可以阻止通常的腳本少年類(lèi)型的攻擊，但無(wú)力抵御大部分的應(yīng)用層漏洞 。
請(qǐng)求分析
全面的請(qǐng)求分析技術(shù)比單單采用URL過(guò)濾來(lái)得有效，可以防止Web服務(wù)器層的跨站腳本執(zhí)行(cross-site scripting)漏洞和其它漏洞 。全面的請(qǐng)求分析使URL過(guò)濾更進(jìn)了一步:可以確保請(qǐng)求符合要求、遵守標(biāo)準(zhǔn)的HTTP規(guī)范，同時(shí)確保單個(gè)的請(qǐng)求部分在合理的大小限制范圍之內(nèi) 。這項(xiàng)技術(shù)對(duì)防止緩沖器溢出攻擊非常有效 。然而，請(qǐng)求分析仍是一項(xiàng)無(wú)狀態(tài)技術(shù) 。它只能檢測(cè)當(dāng)前請(qǐng)求 。正如我們所知道的那樣，記住以前的行為能夠獲得極有意義的分析，同時(shí)獲得更深層的保護(hù) 。

推薦閱讀

• 

  水果和蔬菜的好處
• 

  南瓜爛了一點(diǎn)削掉還能吃不,南瓜中間軟了還能吃嗎
• 

  光遇晨島的所有動(dòng)作在哪里
• 

  楚玄救女帝天雷霸體什么小說(shuō) 《楚風(fēng)墜崖錯(cuò)救2位女帝》內(nèi)容簡(jiǎn)介
• 

  伽羅臺(tái)詞 伽羅臺(tái)詞介紹
• 

  小米怎么截圖手機(jī)屏幕 小米5怎么截圖
• 

  葡萄干一天吃多少合適,葡萄干吃多了會(huì)怎樣
• 

  饑荒手游大理石護(hù)甲怎么做 饑荒合輯版大理石護(hù)甲用處介紹
• 

  雨水管漏水怎么維修
• 

  廣汽傳祺GA8：如何使用雨刮器？
• 

  qq空間好友動(dòng)態(tài)秒贊介紹及常見(jiàn)問(wèn)題介紹
• 

  選擇音響的技巧是什么
• 

  麻將機(jī)操作盤(pán)玻璃的拆除及擦洗 怎么更換麻將機(jī)玻璃
• 

  書(shū)法的發(fā)展簡(jiǎn)史
• 

  56歲重大疾病保險(xiǎn)如何購(gòu)買(mǎi)
• 

  豐田fs小車(chē)和大眾捷達(dá)小車(chē)哪個(gè)好，怎么選

• 紅米k30支持哪幾個(gè)5G頻段 紅米k30能用的5G頻段有哪些
• 羊毛大衣太硬怎么變軟
• 網(wǎng)絡(luò)防火墻的十二個(gè)注意事項(xiàng)！
• 千愛(ài)試飛夏新M636--手機(jī)PC應(yīng)用篇
• Linux的防火墻配置――基礎(chǔ)篇
• 教你用APF和BFD來(lái)加強(qiáng)Linux的防火墻
• 枸杞泡水三不要
• 諾基亞6020的使用淺析及建議
• 光合作用的原理 光合作用的原理是什么
• 部署ISA網(wǎng)絡(luò)防火墻策略的十六條守則