在6月份的時候有這樣一則新聞:美國科學(xué)家表示,許多網(wǎng)站目前都面臨一種新形式網(wǎng)絡(luò)攻擊——“HTTP請求走私”的威脅,這種攻擊將有害的數(shù)據(jù)包隱藏在看似合法的數(shù)據(jù)包中,通過HTTP請求破壞網(wǎng)站。
專家發(fā)現(xiàn),“HTTP請求走私”最簡單的一種攻擊形式是添加多余的“內(nèi)容長度的頭信息標(biāo)簽”。通常,當(dāng)瀏覽器發(fā)出網(wǎng)頁請求時,它會發(fā)送包含詳細請 求內(nèi)容的數(shù)據(jù)包。一般情況下,數(shù)據(jù)包中只包含一個“內(nèi)容長度的頭信息標(biāo)簽”,以保證需要處理的數(shù)據(jù)大小。而在“HTTP請求走私”中,可能會出現(xiàn)兩個以上 “內(nèi)容長度的頭信息標(biāo)簽”。科學(xué)家發(fā)現(xiàn),不同的網(wǎng)站在遭到這種攻擊時會作出不同的反應(yīng),很可能會造成處理錯誤。另外,“HTTP請求走私”能夠突破安全過 濾器,可以將新網(wǎng)站非法上載到網(wǎng)站緩沖區(qū)中。
專家認(rèn)為,黑客可能很快就會利用“HTTP請求走私”,對網(wǎng)站進行大規(guī)模攻擊。最好的防范措施,就是嚴(yán)格遵循超文本數(shù)據(jù)傳輸協(xié)議的各項要求。同時,專家也認(rèn)為,之所以出現(xiàn)“HTTP請求走私”,說明超文本傳輸協(xié)議存在漏洞,應(yīng)對其進行修改。
這條新聞所提到的攻擊只是網(wǎng)站所面對的眾多攻擊中的比較新的一個。隨著互聯(lián)網(wǎng)的飛速發(fā)展,Web應(yīng)用也日益增多。今天,商業(yè)交易的各個部分都正在 向Web上轉(zhuǎn)移,但每增加一個新的基于Web的應(yīng)用系統(tǒng),都會導(dǎo)致之前處于保護狀態(tài)下的后端系統(tǒng)直接連接到互聯(lián)網(wǎng)上,最后的結(jié)果就是將公司的關(guān)鍵數(shù)據(jù)置于 外界攻擊之下。
據(jù)Gartner調(diào)查顯示,現(xiàn)在有75%的攻擊都是針對Web應(yīng)用層發(fā)起的。尤其是金融服務(wù)業(yè)成為了眾矢之的,而攻擊者的主要目的就是直接獲取個人數(shù)據(jù)。
據(jù)美國計算機安全協(xié)會(CSI)/美國聯(lián)邦調(diào)查局(FBI)的研究表明,在接受調(diào)查的公司中,2004年有52%的公司的系統(tǒng)遭受過外部攻擊(包 括系統(tǒng)入侵、濫用Web應(yīng)用系統(tǒng)、網(wǎng)頁置換、盜取私人信息及拒絕服務(wù)等等),這些攻擊給269家受訪公司帶來的經(jīng)濟損失超過1.41億美元,但事實上他們 中有98%的公司都裝有防火墻。
為什么防火墻沒有防住攻擊?因為他們安裝的是網(wǎng)絡(luò)防火墻,而真正能防御這些攻擊的是應(yīng)用防火墻。早在2002年,IDC就曾在報告中認(rèn)為,“網(wǎng)絡(luò)防火墻對應(yīng)用層的安全已起不到什么作用了,因為為了確保通信,網(wǎng)絡(luò)防火墻內(nèi)的端口都必須處于開放狀態(tài)。”
從概念走向?qū)嵱?br />
應(yīng)用防火墻其實是個安全“老兵”了。在十幾年前,就已經(jīng)出現(xiàn)了應(yīng)用防火墻的概念。但是為什么遲遲沒有產(chǎn)品出現(xiàn)呢?華城技術(shù)有限公司負(fù)責(zé)人楊磊說: “因為系統(tǒng)的硬件平臺跟不上。以前,網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn)發(fā)處理就占用了CPU大量的資源,CPU根本無法再做應(yīng)用層的處理;而可以進行高速網(wǎng)絡(luò)數(shù)據(jù)處理的 ASIC技術(shù)又處理不了應(yīng)用層數(shù)據(jù)的復(fù)雜性,所以應(yīng)用防火墻沒有誕生的條件。”隨著NP(網(wǎng)絡(luò)處理器)性能的迅速提升,特別是基于通用CPU的多核NP 體系(例如Broadcom的雙核NP 1250,將2個64位MIPS芯片集成在一塊處理器芯片里面,而且后續(xù)推出了集成4個CPU的處理器;而 Cavium公司也推出了集成16個MIPS CPU和硬件加速處理單元的網(wǎng)絡(luò)服務(wù)處理器OCTEON)產(chǎn)生之后,利用多CPU的并行處理能力和軟件的靈 活性,應(yīng)用防火墻可以實現(xiàn)對復(fù)雜應(yīng)用的安全處理,并且能夠達到千兆線速的性能。
在2004年,應(yīng)用防火墻終于沖破概念的圍城,真正實現(xiàn)了產(chǎn)品化。國外有Teros、Sanctum、Netcontinuum和Kavado等 廠商推出了Web應(yīng)用防火墻,目前在國內(nèi)記者看到的產(chǎn)品僅僅有華城技術(shù)(secnumen)的AppRock和F5網(wǎng)絡(luò)公司的 TrafficShield.
現(xiàn)在我們所說的應(yīng)用防火墻,一般是指Web應(yīng)用防火墻和數(shù)據(jù)庫防火墻(也叫SQL防火墻),而現(xiàn)在我們所能見到的產(chǎn)品基本都是Web應(yīng)用防火墻。
應(yīng)用前面的銅墻鐵壁
安裝了網(wǎng)絡(luò)防火墻和IDS,就能抵擋應(yīng)用層攻擊嗎?不能。因為在保護應(yīng)用方面,網(wǎng)絡(luò)防火墻和IDS各有不足。
網(wǎng)絡(luò)防火墻有洞
網(wǎng)絡(luò)防火墻技術(shù)的發(fā)展已經(jīng)非常成熟,也是目前網(wǎng)絡(luò)安全技術(shù)中最實用和作用最大的技術(shù)。但是,作為目前應(yīng)用最為廣泛的HTTP服務(wù)器等應(yīng)用服務(wù)器, 通常是部署在防火墻的DMZ區(qū)域,防火墻完全向外部網(wǎng)絡(luò)開放HTTP應(yīng)用端口,這種方式對于HTTP應(yīng)用沒有任何的保護作用。即使使用HTTP代理型的防 火墻,防火墻也只是驗證HTTP協(xié)議本身的合法性,完全不能理解HTTP協(xié)議所承載的數(shù)據(jù),也無從判斷對HTTP服務(wù)器的訪問行為是否合法。攻擊者知道正 面攻破網(wǎng)絡(luò)防火墻十分困難,于是從簡單的端口掃描攻擊轉(zhuǎn)向通過應(yīng)用層協(xié)議進入企業(yè)內(nèi)部,目前,利用網(wǎng)上隨處可見的攻擊軟件,攻擊者不需要對網(wǎng)絡(luò)協(xié)議有深厚 的理解,即可完成諸如更換Web網(wǎng)站主頁、盜取管理員密碼、破壞整個網(wǎng)站數(shù)據(jù)等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù),和正常數(shù)據(jù)沒有什么區(qū)別。一個最 簡單的例子就是在請求中包含SQL注入代碼,或者提交可以完成獲取其他用戶認(rèn)證信息的跨站腳本,這些數(shù)據(jù)不管是在傳統(tǒng)防火墻所處理的網(wǎng)絡(luò)層和傳輸層,還是 在代理型防火墻所處理的協(xié)議會話層,都會認(rèn)為是合法的。
明白了防火墻的工作原理,我們就知道,對于應(yīng)用層攻擊,網(wǎng)絡(luò)防火墻是無能為力的。
入侵檢測有限
目前最成熟的入侵檢測技術(shù)就是攻擊特征檢測。入侵檢測系統(tǒng)首先建立一個包含目前大多已知攻擊特征的數(shù)據(jù)庫,然后檢測網(wǎng)絡(luò)數(shù)據(jù)中的每一個報文,判斷是否含有數(shù)據(jù)庫中的任何一個攻擊特征,如果有,則認(rèn)為發(fā)生相應(yīng)的攻擊,否則認(rèn)為是合法的數(shù)據(jù)。
入侵檢測系統(tǒng)作為防火墻的有力補充,加強了網(wǎng)絡(luò)的安全防御能力。但是,入侵檢測技術(shù)的作用存在一定的局限性。由于需要預(yù)先構(gòu)造攻擊特征庫來匹配網(wǎng) 絡(luò)數(shù)據(jù),對于未知攻擊和不能有效提取攻擊特征的攻擊,入侵檢測系統(tǒng)不能檢測和防御。另外就是其技術(shù)實現(xiàn)的矛盾,如果需要防御更多的攻擊,那么就需要很多的 規(guī)則,但是隨著規(guī)則的增多,系統(tǒng)出現(xiàn)的虛假報告(對于入侵防御系統(tǒng)來說,會產(chǎn)生中斷正常連接的問題)率就會上升,同時,系統(tǒng)的效率會降低。
對于應(yīng)用攻擊,入侵檢測系統(tǒng)可以有效的防御部分攻擊,但不是全部。
應(yīng)用防火墻有效
網(wǎng)絡(luò)面臨的許多安全問題單靠網(wǎng)絡(luò)防火墻是無法解決的,必須通過一種全新設(shè)計的高性能安全代理專用設(shè)備來配合網(wǎng)絡(luò)防火墻。具體來說,利用網(wǎng)絡(luò)防火墻 阻擋外面的端口掃描攻擊,利用應(yīng)用安全防護技術(shù),深層管理和控制由用戶訪問外部資源而引起的應(yīng)用層攻擊,解決針對應(yīng)用的、具有破壞性的復(fù)雜攻擊。
應(yīng)用防火墻真正實現(xiàn)了對網(wǎng)絡(luò)應(yīng)用的保護,是傳統(tǒng)安全技術(shù)的有效補充。應(yīng)用防火墻可以阻止針對Web應(yīng)用的攻擊,而不僅僅是驗證HTTP協(xié)議。這些 攻擊包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設(shè)法得到命令串或邏輯語句的邏輯內(nèi)容攻擊,以及以賬戶、文件或主機為主要目標(biāo)的目標(biāo)攻擊。2004年所 出現(xiàn)的Web應(yīng)用10大漏洞,應(yīng)用防火墻均可以防御,未知攻擊也無法越過應(yīng)用防火墻。
業(yè)界標(biāo)準(zhǔn)的應(yīng)用防火墻一般采用主動安全技術(shù)實現(xiàn)對應(yīng)用的保護。主動安全技術(shù)是指建立正面規(guī)則集,也就是說明哪些行為和訪問是合法的規(guī)則描述。對于 接收到的應(yīng)用數(shù)據(jù)(從網(wǎng)絡(luò)協(xié)議還原出來的應(yīng)用數(shù)據(jù),不是數(shù)據(jù)報文頭),判斷是否符合合法規(guī)則。因為只允許通過已知的正常數(shù)據(jù),這種方式可以防御所有的未知 攻擊。
應(yīng)用防火墻技術(shù)是現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)的一個重要補充,而不是取代傳統(tǒng)防火墻和入侵檢測等安全設(shè)備。傳統(tǒng)安全設(shè)備阻擋攻擊者從正面入侵,著重進行網(wǎng)絡(luò)層的攻擊防護;而應(yīng)用防火墻著重進行應(yīng)用層的內(nèi)容檢查和安全防御,與傳統(tǒng)安全設(shè)備共同構(gòu)成全面、有效的安全防護體系。
專家發(fā)現(xiàn),“HTTP請求走私”最簡單的一種攻擊形式是添加多余的“內(nèi)容長度的頭信息標(biāo)簽”。通常,當(dāng)瀏覽器發(fā)出網(wǎng)頁請求時,它會發(fā)送包含詳細請 求內(nèi)容的數(shù)據(jù)包。一般情況下,數(shù)據(jù)包中只包含一個“內(nèi)容長度的頭信息標(biāo)簽”,以保證需要處理的數(shù)據(jù)大小。而在“HTTP請求走私”中,可能會出現(xiàn)兩個以上 “內(nèi)容長度的頭信息標(biāo)簽”。科學(xué)家發(fā)現(xiàn),不同的網(wǎng)站在遭到這種攻擊時會作出不同的反應(yīng),很可能會造成處理錯誤。另外,“HTTP請求走私”能夠突破安全過 濾器,可以將新網(wǎng)站非法上載到網(wǎng)站緩沖區(qū)中。
專家認(rèn)為,黑客可能很快就會利用“HTTP請求走私”,對網(wǎng)站進行大規(guī)模攻擊。最好的防范措施,就是嚴(yán)格遵循超文本數(shù)據(jù)傳輸協(xié)議的各項要求。同時,專家也認(rèn)為,之所以出現(xiàn)“HTTP請求走私”,說明超文本傳輸協(xié)議存在漏洞,應(yīng)對其進行修改。
這條新聞所提到的攻擊只是網(wǎng)站所面對的眾多攻擊中的比較新的一個。隨著互聯(lián)網(wǎng)的飛速發(fā)展,Web應(yīng)用也日益增多。今天,商業(yè)交易的各個部分都正在 向Web上轉(zhuǎn)移,但每增加一個新的基于Web的應(yīng)用系統(tǒng),都會導(dǎo)致之前處于保護狀態(tài)下的后端系統(tǒng)直接連接到互聯(lián)網(wǎng)上,最后的結(jié)果就是將公司的關(guān)鍵數(shù)據(jù)置于 外界攻擊之下。
據(jù)Gartner調(diào)查顯示,現(xiàn)在有75%的攻擊都是針對Web應(yīng)用層發(fā)起的。尤其是金融服務(wù)業(yè)成為了眾矢之的,而攻擊者的主要目的就是直接獲取個人數(shù)據(jù)。
據(jù)美國計算機安全協(xié)會(CSI)/美國聯(lián)邦調(diào)查局(FBI)的研究表明,在接受調(diào)查的公司中,2004年有52%的公司的系統(tǒng)遭受過外部攻擊(包 括系統(tǒng)入侵、濫用Web應(yīng)用系統(tǒng)、網(wǎng)頁置換、盜取私人信息及拒絕服務(wù)等等),這些攻擊給269家受訪公司帶來的經(jīng)濟損失超過1.41億美元,但事實上他們 中有98%的公司都裝有防火墻。
為什么防火墻沒有防住攻擊?因為他們安裝的是網(wǎng)絡(luò)防火墻,而真正能防御這些攻擊的是應(yīng)用防火墻。早在2002年,IDC就曾在報告中認(rèn)為,“網(wǎng)絡(luò)防火墻對應(yīng)用層的安全已起不到什么作用了,因為為了確保通信,網(wǎng)絡(luò)防火墻內(nèi)的端口都必須處于開放狀態(tài)。”
從概念走向?qū)嵱?br />
應(yīng)用防火墻其實是個安全“老兵”了。在十幾年前,就已經(jīng)出現(xiàn)了應(yīng)用防火墻的概念。但是為什么遲遲沒有產(chǎn)品出現(xiàn)呢?華城技術(shù)有限公司負(fù)責(zé)人楊磊說: “因為系統(tǒng)的硬件平臺跟不上。以前,網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn)發(fā)處理就占用了CPU大量的資源,CPU根本無法再做應(yīng)用層的處理;而可以進行高速網(wǎng)絡(luò)數(shù)據(jù)處理的 ASIC技術(shù)又處理不了應(yīng)用層數(shù)據(jù)的復(fù)雜性,所以應(yīng)用防火墻沒有誕生的條件。”隨著NP(網(wǎng)絡(luò)處理器)性能的迅速提升,特別是基于通用CPU的多核NP 體系(例如Broadcom的雙核NP 1250,將2個64位MIPS芯片集成在一塊處理器芯片里面,而且后續(xù)推出了集成4個CPU的處理器;而 Cavium公司也推出了集成16個MIPS CPU和硬件加速處理單元的網(wǎng)絡(luò)服務(wù)處理器OCTEON)產(chǎn)生之后,利用多CPU的并行處理能力和軟件的靈 活性,應(yīng)用防火墻可以實現(xiàn)對復(fù)雜應(yīng)用的安全處理,并且能夠達到千兆線速的性能。
在2004年,應(yīng)用防火墻終于沖破概念的圍城,真正實現(xiàn)了產(chǎn)品化。國外有Teros、Sanctum、Netcontinuum和Kavado等 廠商推出了Web應(yīng)用防火墻,目前在國內(nèi)記者看到的產(chǎn)品僅僅有華城技術(shù)(secnumen)的AppRock和F5網(wǎng)絡(luò)公司的 TrafficShield.
現(xiàn)在我們所說的應(yīng)用防火墻,一般是指Web應(yīng)用防火墻和數(shù)據(jù)庫防火墻(也叫SQL防火墻),而現(xiàn)在我們所能見到的產(chǎn)品基本都是Web應(yīng)用防火墻。
應(yīng)用前面的銅墻鐵壁
安裝了網(wǎng)絡(luò)防火墻和IDS,就能抵擋應(yīng)用層攻擊嗎?不能。因為在保護應(yīng)用方面,網(wǎng)絡(luò)防火墻和IDS各有不足。
網(wǎng)絡(luò)防火墻有洞
網(wǎng)絡(luò)防火墻技術(shù)的發(fā)展已經(jīng)非常成熟,也是目前網(wǎng)絡(luò)安全技術(shù)中最實用和作用最大的技術(shù)。但是,作為目前應(yīng)用最為廣泛的HTTP服務(wù)器等應(yīng)用服務(wù)器, 通常是部署在防火墻的DMZ區(qū)域,防火墻完全向外部網(wǎng)絡(luò)開放HTTP應(yīng)用端口,這種方式對于HTTP應(yīng)用沒有任何的保護作用。即使使用HTTP代理型的防 火墻,防火墻也只是驗證HTTP協(xié)議本身的合法性,完全不能理解HTTP協(xié)議所承載的數(shù)據(jù),也無從判斷對HTTP服務(wù)器的訪問行為是否合法。攻擊者知道正 面攻破網(wǎng)絡(luò)防火墻十分困難,于是從簡單的端口掃描攻擊轉(zhuǎn)向通過應(yīng)用層協(xié)議進入企業(yè)內(nèi)部,目前,利用網(wǎng)上隨處可見的攻擊軟件,攻擊者不需要對網(wǎng)絡(luò)協(xié)議有深厚 的理解,即可完成諸如更換Web網(wǎng)站主頁、盜取管理員密碼、破壞整個網(wǎng)站數(shù)據(jù)等攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù),和正常數(shù)據(jù)沒有什么區(qū)別。一個最 簡單的例子就是在請求中包含SQL注入代碼,或者提交可以完成獲取其他用戶認(rèn)證信息的跨站腳本,這些數(shù)據(jù)不管是在傳統(tǒng)防火墻所處理的網(wǎng)絡(luò)層和傳輸層,還是 在代理型防火墻所處理的協(xié)議會話層,都會認(rèn)為是合法的。
明白了防火墻的工作原理,我們就知道,對于應(yīng)用層攻擊,網(wǎng)絡(luò)防火墻是無能為力的。
入侵檢測有限
目前最成熟的入侵檢測技術(shù)就是攻擊特征檢測。入侵檢測系統(tǒng)首先建立一個包含目前大多已知攻擊特征的數(shù)據(jù)庫,然后檢測網(wǎng)絡(luò)數(shù)據(jù)中的每一個報文,判斷是否含有數(shù)據(jù)庫中的任何一個攻擊特征,如果有,則認(rèn)為發(fā)生相應(yīng)的攻擊,否則認(rèn)為是合法的數(shù)據(jù)。
入侵檢測系統(tǒng)作為防火墻的有力補充,加強了網(wǎng)絡(luò)的安全防御能力。但是,入侵檢測技術(shù)的作用存在一定的局限性。由于需要預(yù)先構(gòu)造攻擊特征庫來匹配網(wǎng) 絡(luò)數(shù)據(jù),對于未知攻擊和不能有效提取攻擊特征的攻擊,入侵檢測系統(tǒng)不能檢測和防御。另外就是其技術(shù)實現(xiàn)的矛盾,如果需要防御更多的攻擊,那么就需要很多的 規(guī)則,但是隨著規(guī)則的增多,系統(tǒng)出現(xiàn)的虛假報告(對于入侵防御系統(tǒng)來說,會產(chǎn)生中斷正常連接的問題)率就會上升,同時,系統(tǒng)的效率會降低。
對于應(yīng)用攻擊,入侵檢測系統(tǒng)可以有效的防御部分攻擊,但不是全部。
應(yīng)用防火墻有效
網(wǎng)絡(luò)面臨的許多安全問題單靠網(wǎng)絡(luò)防火墻是無法解決的,必須通過一種全新設(shè)計的高性能安全代理專用設(shè)備來配合網(wǎng)絡(luò)防火墻。具體來說,利用網(wǎng)絡(luò)防火墻 阻擋外面的端口掃描攻擊,利用應(yīng)用安全防護技術(shù),深層管理和控制由用戶訪問外部資源而引起的應(yīng)用層攻擊,解決針對應(yīng)用的、具有破壞性的復(fù)雜攻擊。
應(yīng)用防火墻真正實現(xiàn)了對網(wǎng)絡(luò)應(yīng)用的保護,是傳統(tǒng)安全技術(shù)的有效補充。應(yīng)用防火墻可以阻止針對Web應(yīng)用的攻擊,而不僅僅是驗證HTTP協(xié)議。這些 攻擊包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設(shè)法得到命令串或邏輯語句的邏輯內(nèi)容攻擊,以及以賬戶、文件或主機為主要目標(biāo)的目標(biāo)攻擊。2004年所 出現(xiàn)的Web應(yīng)用10大漏洞,應(yīng)用防火墻均可以防御,未知攻擊也無法越過應(yīng)用防火墻。
業(yè)界標(biāo)準(zhǔn)的應(yīng)用防火墻一般采用主動安全技術(shù)實現(xiàn)對應(yīng)用的保護。主動安全技術(shù)是指建立正面規(guī)則集,也就是說明哪些行為和訪問是合法的規(guī)則描述。對于 接收到的應(yīng)用數(shù)據(jù)(從網(wǎng)絡(luò)協(xié)議還原出來的應(yīng)用數(shù)據(jù),不是數(shù)據(jù)報文頭),判斷是否符合合法規(guī)則。因為只允許通過已知的正常數(shù)據(jù),這種方式可以防御所有的未知 攻擊。
應(yīng)用防火墻技術(shù)是現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)的一個重要補充,而不是取代傳統(tǒng)防火墻和入侵檢測等安全設(shè)備。傳統(tǒng)安全設(shè)備阻擋攻擊者從正面入侵,著重進行網(wǎng)絡(luò)層的攻擊防護;而應(yīng)用防火墻著重進行應(yīng)用層的內(nèi)容檢查和安全防御,與傳統(tǒng)安全設(shè)備共同構(gòu)成全面、有效的安全防護體系。
上一篇:電腦個人防火墻的使用技巧
下一篇:返回列表
