科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道思科防火墙销售指南之应用篇(4)

思科防火墙销售指南之应用篇(4)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

思科公司的PIX防火墙产品自面世以来就得到用户的信赖和认可,连续多年在全球防火墙市场份额均居所有安全厂商之首,在中国也不例外,思科公司的PIX防火墙高居中国防火墙市场份额。

作者:51CTO.COM 2007年11月1日

关键字: 应用 思科 PIX 防火墙

  • 评论
  • 分享微博
  • 分享邮件

应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术,通常的表现形式是一组代理的集合。代理的原理是彻底隔断两端的直接通信,所有通信都必须经应用层的代理转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说,状态检测包过滤规范了网络层和传输层行为,而应用代理则是规范了特定的应用协议上的行为。

防火墙防御攻击的几种常用技术

深度数据包处理

深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。

防火墙技术

应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。

SSL终止

如今,几乎所有的安全应用都使用HTTPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果安全策略不允许敏感信息在未加密的前提下通过网络传输,就需要在流量发送到Web服务器之前重新进行加密的解决方案。

URL过滤

一旦应用流量呈明文格式,就可以检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicode encoding)。对URL过滤采用基于特征的方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击的URL,但这还远远不够。需要一种方案不仅能检查RUL,还能检查请求的其余部分;把应用响应考虑进来,可以大大提高检测攻击的准确性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章