科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道浅析传统防火墙的五大不足之处(3)

浅析传统防火墙的五大不足之处(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

据专家统计,目前70%的攻击是发生在应用层,而不是网络层,对于这类攻击,传统网络防火墙的防护效果,并不太理想,传统的网络防火墙,存在着五大不足之处。

作者:51CTO.COM 2007年10月30日

关键字: 加密 防火墙 Web应用 网络

  • 评论
  • 分享微博
  • 分享邮件

  如果使用这个规则,将对所有的应用程序生效。如果一个程序或者是一个简单的Web网页,确实需要涉及到很长的URL时,就要屏蔽该规则。

  网络防火墙的体系结构,决定了网络防火墙是针对网络端口和网络层进行操作的,因此很难对应用层进行防护,除非是一些很简单的应用程序。

  5、无法扩展带深度检测功能

  基于状态检测的网络防火墙,如果希望只扩展深度检测(deep inspection)功能,而没有相应增加网络性能,这是不行的。

  真正的针对所有网络和应用程序流量的深度检测功能,需要空前的处理能力,来完成大量的计算任务,包括以下几个方面:

  ★ SSL加密/解密功能;

  ★ 完全的双向有效负载检测;

  ★ 确保所有合法流量的正常化;

  ★ 广泛的协议性能;

  这些任务,在基于标准PC硬件上,是无法高效运行的,虽然一些网络防火墙供应商采用的是基于ASIC的平台,但进一步研究,就能发现:旧的基于网络的ASIC平台对于新的深度检测功能是无法支持的。

  小结:应用层受到攻击的概率越来越大,而传统网络防火墙在这方面有存在着不足之处。对此,少数防火墙供应商也开始意识到应用层的威胁,在防火墙产品上增加了一些弹性概念(Proof-Of-Concept)的特征,试图防范这些威胁。传统的网络防火墙对于应用安全的防范上效果不佳,对于上述列出的五大不足之处,将来需要在网络层和应用层加强防范。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章