1、7层 OSI网 络 防火 墙 安全性能分析内 容 来 源:西安 弈 聪 信息技 术 有限公司 (http:/)关键词 : 网 络 防火 墙内 容 概 要:虽 然 应 用 层 防火 墙 能 够 分析和封 锁恶 意通 讯 ,但是,必要的 处 理能力使 这 种 防火 墙 价格更 昂 贵 ,比基本的 网 络设备 速度更慢。在 你的 网 络 需要 连 接 设备 和局域 网网 段的 每 一 个 地方都配置 应 用 层 防火 墙 是 没 有意思和不 现实 的。 .正文:7层 是 OSI(开 放系 统 互 联 )模型的 应 用 层 。 它 支持 HTTP和 SMTP等 应 用程序和最 终 用 户处 理。在 这
2、 一 层实 施攻 击时 一 个 安全挑 战 ,因为恶 意代 码 能 够伪 装 成合法的客 户请 求和正常的 应 用 数 据。 例如,一 个 标 准的 网 络 防火 墙 也 许 只允 许 在 TCP端口 80进 行 HTTP通 讯 。但是, SQK注入攻 击 将 被 当 作合法的 HTTP通 讯 允 许 通 过 ,同 时间谍软 件能 够 使用 HTTP以外的 协议 与 监 听 80端口的外部服 务 器建立一 个 通 讯频 道。 这 就意味 着 数 据包率 过滤 和 状 态检 查 等 传统 的周 边 防御技 术 已 经 不 够 用了,因 为这 些技 术 不能 区 分 恶 意的和非 恶 意的 请 求
3、和 数 据。 因此,在抵御 7层 攻 击 的 战 争 中,提供 应 用 层过滤 的防火 墙 已 经 成 为选择 的工具。 与 传统 的防火 墙 相比, 应 用 层过滤设备 肯定能 够提供更好的 内 容 过滤 功能。 它 们 有能力 检 查 数 据包的 负 荷 并 且根据 内 容做出 决 策。 这 就意味 着 应 用 层过滤 系 统 能 够 允 许 或者拒 绝 具体 应 用 请 求或者指令, 对 网 络 通 讯 提供更精 细 的控制。例如, 它 们 能 够 允 许 或者拒 绝 一 个 特定用 户发进 来 的具体的 Telnet指令,而其 它 防火 墙仅 控制一 个 特定主机的普通的入 网 的 请
4、 求。 许 多 应 用 层 防火 墙 允 许 你 创 建一 个 过滤 器 进 行 拦 截、分析或者修改 针对 你 的网 络 的通 讯 。 这 种 增加的具体功能可以更容易地保 护 重要的 资产 不受 应 用 层 攻 击 ,因 为创 建的 规则 能 够 用 来 封 锁 某 种 类 型的通 讯 ,尽 管 恶 意通 讯 正在使用一 个 “ 允 许 的端口 ” 。 这 不 仅 能 够 阻止有 针对 性的攻 击 ,而且 还 能阻止蠕虫和病毒的攻 击 ,即使 没 有已知的攻 击 特征也能 够 阻止 这 些攻 击 。 但是,外部威 胁还 不是 你 的机 构 面 临 的惟一 担 心的 问题还 有一些能 够 穿
5、越 7层 的 内 部威 胁 。 应 用 层过滤 系 统 不能直接 识别 用 户 ,但是,能 够 使用 过滤 器 实 施用于 查 看、分析、封 锁 、重新定向或者修改通 讯 的安全政策 规则 。 这 阻止了 员 工非故意或者 恶 意的行 动 。例如, 你 可以 设 置一 个 应 用 层过滤 器阻止 员 工 从 互 联 网 下 载 可能有害的程序或者阻止 P2P文件交 换 服 务 。 应 用 层过滤 系 统 深入的 数 据包 检 查 的一 个 重要方面是 经 常被忽略,因 为 他 们 超越了 网 络 地址和端口的范 围 来 检 查 整 个 网 络 的 数 据包,他 们 能 够 制作非常 详细 的
6、记录 。 当 处 理安全事件和 执 行政策的 时 候, 这 些 记录 能 够 提供非常有价 值 的信息, 经 常提供可能 发 出即 将 发 生或者 实际发 生的攻 击 警 报 的 数 据。 虽 然 应 用 层 防火 墙 能 够 分析和封 锁恶 意通 讯 ,但是,必要的 处 理能力使 这 种 防火 墙 价格更 昂 贵 ,比基本的 网 络设备 速度更慢。在 你的 网 络 需要 连 接 设备 和局域 网网 段的 每 一 个 地方都配置 应 用 层 防火 墙 是 没 有意思和不 现实 的。相反, 网 络 交 换 机安全在控制 哪 一台设备 可以 连 接和 它 们 在 你 的 网 络 中可以看到什 么
7、能 够发挥 重要的作用。交 换 机一般是 2层 网 络设备 ,主要控制 设备 最初接入 网 络 。交 换 机 还 能 够 用 来 创 建 虚 拟 局域 网 。 虚 拟 局域 网 可以提供性能、控制 广 播通 讯 和部 门 以及群隔 离 。在企 业级 交 换 机上 还 有端口安全。 这 是能 够 确 定有多少台 设备 和 哪 一台 设备 能 够连 接到 你 的交 换 机端口的 极 好的方法,阻止人 们 附加 无 线 接入 点 , 绕过 你 的安全政策。 虽 然交 换 机安全是一 种 劳动 密集型工作 并 且需要不 间 断 的管理,但是, 这 是建立 纵 深防御保 护 你 的 网 络应 用的一 个
8、 重要的方面。 与交 换 机和 应 用 层 一起使用的是保 护 7层 的 关键设备 。但是,不要忘了感 谢 你 能 够 从 你 的防御得到的安全程度。 钓鱼 攻 击 和社交工程攻 击 仍然能 够绕过 你 的硬件和 软 件安全措施。 这 意味 着 同所有的信息安全的努力一 样 , 你 的 7层 防御的最后一道防 线 是 员 工 对 安全的了解。 为 了知道要 记录 什 么 和 确 实 要保 护 什 么 , 你 需要把 你 的 数 据分 类 。通 过 理解什 么 是重要的和什 么 是不重要的, 你 可以 确 定 你 需要什么 样 的防火 墙规则 以及 你 的防火 墙 要 记录 什 么 信息。 这
9、适 用于入 网 和出 网 的通 讯 。 西安 弈 聪 信息技 术 有限公司 简 介西安 弈 聪 立足 陕 西西安, 为 西安企 业 提供 网 站 优 化, 软 件 开发 , 软 件外包, 电 子政 务 , 网 站建 设 、企 业 网 络营销 咨 询 服 务 及 实 施为 主体 业务 , 为 客 户 提供一体化 IT技 术 服 务 。 西安 弈 聪现 有技 术 架 构 包含 PHP,asp,.NET.C+,VB,J2EE等,在 MYSQL,MSSQl数 据 库 系 统 , ORACLE大型 数 据 库 管理系 统开发 方面 专长 , 经验 丰 富,是 业 内 技 术 服 务 最全面,技 术实 力最雄厚的 IT技 术 服 务 企 业 之一。 联 系 电话 : 029-84157445 网 址 :http:/ 邮 箱 :
