近日安全專家Steve Taylor及研發(fā)團隊表示，目前的廣域網(wǎng)(WAN)防火墻的防御能力遠滯后告訴發(fā)展的安全威脅。我們將來研究下當(dāng)前防火墻，并找出其中一些關(guān)鍵弱點。

當(dāng)前廣域網(wǎng)防火墻的檢測重點落在監(jiān)測數(shù)據(jù)包頭。這樣做的原因之一是因為防火墻受到處理能力的限制，防火墻的架構(gòu)是以在行業(yè)標(biāo)準(zhǔn)CPU上運行的軟件為基礎(chǔ)。雖然使用行業(yè)標(biāo)準(zhǔn)的CPU有一定優(yōu)勢，但這些優(yōu)勢并不包含執(zhí)行數(shù)據(jù)密集型處理的能力。

為了克服這個局限性，許多當(dāng)前的防火強廠商都通過增加硬件或者加速組件來提高產(chǎn)品的性能。例如，一些當(dāng)前防火墻增加了入侵防御功能(IPS)或者使用包含深度包檢測(DPI)技術(shù)的來檢查可疑的通訊。然而，防火墻受到本身處理能力的限制，使DPI技術(shù)只能應(yīng)用于經(jīng)過防火墻的極少數(shù)數(shù)據(jù)包。

此外，當(dāng)前這一代防火墻做出了兩個基本的假設(shè)，這兩個假設(shè)都有問題。第一個假設(shè)是第一個數(shù)據(jù)包中包含的信息足以識別這個應(yīng)用程序，以及這個應(yīng)用程序要執(zhí)行的功能。在許多情況下，需要用許多數(shù)據(jù)包才能做出這種識別，因為這個應(yīng)用程序的端點能夠協(xié)商改變端口號或者在一個連接上執(zhí)行多種功能。

第二個假設(shè)是擔(dān)心眾所周知的端口的使用。在IP網(wǎng)絡(luò)中，TCP和UDP端口是邏輯連接的端點，提供這種多路機制讓多個應(yīng)用程序共享一個IP網(wǎng)絡(luò)連接。端口號的范圍是0至65535。從0至1023的端口號是為系統(tǒng)級權(quán)限的服務(wù)保留的并且被指定為眾所周知的端口。TCP和UDP都有眾所周知的和注冊的端口。典型的當(dāng)前這一代的防火墻做出的假設(shè)是這些端口號總是按照指定使用的。但是，許多應(yīng)用程序(如美國在線公司的即時消息軟件)并不使用分配給它們的眾所周知的端口。因此，這些假設(shè)雖然在20年前是正確的，但是，這些假設(shè)在目前卻是不正確的。

專家的警告不難看出，雖然如今防火墻的功能及性能在不斷改變，但要徹底改變防火墻的檢測能力，必須多方協(xié)同發(fā)展來提升防火墻的包檢測效率。

標(biāo)簽： 安全 防火墻 防火墻的功能 權(quán)限 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。