网络防火墙与防范溢出策略
这里所谓的应用层并不是想特别指明该防火墙工作在应用层,而是想指明它能在应用层对数据进行处理。由于应用层的协议/服务种类比较多,因此针对应用层形式的防火墙就有一定的市场局限性了。就楼上所提到的案例而言我们可以使用处理HTTP协议的应用层防火墙对存在WebDAV缺陷的服务器订制保护规则,保证服务器不收此类攻击的影响。应用层中的HTTP协议防火墙系统不多,其中比较出名的有EEYE公司的SecureIIS,其使用方式就可谓是“弱智型”了,说说它的基本防御原理与特点吧。当服务端接受到一个发送至TCP80端口的数据包时首先就会将该包转移至SecureIIS,SecureIIS就会对该包进行分析并解码该包的应用层数据,将得到的数据与你本身定制的规则进行数据配对,一旦发现条件相符饿数值就会执行规则所指定的相应操作。
优点:能有效地切断一些来自应用层的攻击(如溢出、SQL注入等)。
缺点:因为需要安装在服务器上,所以会占用一定的系统资源;(eeye公司本身并无开发该软件的中文版本,所以一旦它受到POST行为发出的中文数据时就会自动认为是高位攻击代码,自动将其隔离,并进行相关的处理操作)。
3)使用IDS功能的防火墙系统
现在国内自主开发的防火墙系统可谓是进入“白热化”了,什么百兆、千兆、2U、4U...性能参数的比较本已经日趋激烈了,再开始有不少厂商将技术重点转移在了“多功能”的方面上,在防火墙中继承IDS模块已经不是什么新鲜事了,使用这类产品可以达到监控应用层数据的效果。
优点:便于管理。
缺点:费用支出增大;长期需要人力资源对其进行管理与设施维护;防火墙上的IDS模块功能有限。
综合以上三种解决方案,希望有一种能为阁下提供反思的空间,也希望各位能为提出相应的建议与意见,谢谢各位,需要与我联系请EMAIL至demonalex[at]demonalex.net。
最新相关文章发表评论