没有合适的资源?快使用搜索试试~ 我知道了~
防火墙漏洞发现与防范.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 67 浏览量
2022-01-19
17:58:02
上传
评论
收藏 32KB DOCX 举报
温馨提示
试读
24页
防火墙漏洞发现与防范.docx
资源推荐
资源详情
资源评论
I
防火墙漏洞发现与防范
发觉与防范_与
任务 4 防火墙漏洞发觉与防范
任务介绍
随着网络平安威逼的手段越来越多,传统防火墙功能呈鞭长莫及之状。于是,称作次世代防
火墙(Next Generation Firewall,NGFW)的产品已经浮现,通过学习新产品的新概念,
使同学了解防火墙的漏洞学问并学会防范技能。
任务分析
2010 年 2 月,平安专家在 IBM 召开的“黑帽大会”上表示 Cisco 器上发觉简单受到监视的潜
在后门。IBM 平安系统讨论人员 Tom Cross 说,此漏洞如何通过路由器“合法拦截”Cisco 系
统的数据流,且在拜访失败后,拜访信息和通知警报不能发送给管理员, ISP 也无法探测和
跟踪罪魁祸首。
其实这一“合法拦截”后门并不彻低是 Cisco 的错误,由于 Cisco 根据 FCC(美国联邦通讯委
员会)的规定,允许执法机构对全部举行窃听。FCC 要求全部必需建立检测他们硬件的解决
计划。
II
这一规定意味着黑客能够“合法拦截”全部设备,造成他们开放后门检测袭击的漏洞。
Cisco 公司已于 2009 年 12 月对此问题发布了一个补丁,但系统仍存在许多漏洞,由于并非
全部网络管理员都应用了修补程序。官网也声称,其 Catalyst 6500 交换机和 7600 系列路
由器的防火墙服务模块发觉多个平安漏洞,并发布平安公告。这些平安漏洞在处理特别制作
的 SunRPC 数据包或某些 TCP 数据包后会引起防火墙模块重新加载。反复利用这个平安漏洞
可导致设备处于持续的否决服务袭击状态。其 ASA 5500 系列平安设备也受到了 SunRPC 平
安漏洞的影响。思科对这个问题和其他一些 ASA 5500 平安漏洞发布了另一个平安公告,称
SunRPC 和 TCP 数据包平安漏洞互相之间没有关联。一个产品可能会受到一个平安漏洞的影
响而不会受到另一平安漏洞的影响。
任务实施
对此案例的分析可以体味到,防火墙作为实现网络平安措施的一种手段,也有其坚强性,系
统漏洞及防护功能的坚强使防火墙形同虚设。鉴于防火墙的设计濒临严重的考验,用法者要
通过设置避开掉自身的漏洞缺陷以达到较完美的防护系统——学习了解新一代防火墙的需
求,有助于防火墙的选型。
2009 年 10 月,国际调查机构 Gartner 名为“De(ning the Next Generation Firewall”的
III
报告对 NGFW 提出了应当具备的功能:能作为封包检测或平安的据点;拥有传统防火墙的功
能,如 NAT、封包过滤、VPN、传输协定检测等;具备 IDP 的功能;有能力和防火墙功能相
互交流,须要时可透过防火墙阻断危急的。
此外,Gartner 报告特殊提到应用程序流量辨识的能力,且把这项能力视为 NGFW 的重点之
一。即 NGFW 须提供可视度(Visibility),不仅像过去的防火墙只透过特征和衔接池号码
管控流量,还必需有能力读懂第七层,辨识流经的不同流量分属哪些应用、哪些人用法、透
过什么装置用法等信息。
NGFW 必需有能力取得其他设备提供的信息,透过这些信息达到阻断恶意流量的效果。例
如,NGFW 要能够与身份辨识的 AD、RADIUS 等设备交流,取得用法者身份信息,再辅以
应用辨识的能力,将不符合企业内平安政策与可能的恶意威逼流量阻断,且能迅速辨识用法
者位置。
NGFW 还须具备扩充的能力,才干在面向新威逼时迅速反应。Gartner 的报告排解了传统
UTM 和中小企业,也不列入 DLP(Data Leakage Prevention)、Web 平安闸道器、闸道
器等功能,认为这些不属于 NGFW 需要必备的功能。
Gartner 的报告明确列出 NGFW 应具备的 6 项重要功能,这些功能均通过归纳市场产品现
IV
状,辅以各家调查机构的重点信息收拾而成。
一、具备应用程序流量识别能力,有利于强化管理
传统的防火墙,依照封包的来源、衔接池等第三、第四层的信息举行封包过滤,像水闸门一
样削减网络被恶意程序袭击的可能性。NGFW 的作用较之更大。
NGFW 有能力看懂第七层应用层的流量,识别不同的应用程序流量,还能够识别用法者的身
份、装置等信息,即 NGFW 必需提供比传统防火墙更好的可视性,具有在面向诸如僵尸网络
等新形态袭击时的更好的反应能力。
目前市场上不少提供防火墙功能的平安厂商已具备这个能力,如 Palo Alto 的防火墙即以这
点为号召。现在的 Palo Alto 有能力识别 900 多种不同的应用,且能通过图像化分析每种应
用流量用法者的用法时光、占用频宽等信息,也能进一步看到每个用法者连线情况与报表,
并通过政策控管流量通过。同时,以人为基础的报表则能帮助企业在发生问题时迅速找到问
题的症结点。
除 Palo Alto 外,Juniper 等厂商也能透过 IDP 模组的功能看到类似信息,再辅以与身份识别
的 AD 架构、RADIUS 等服务器的交流,能辨识用法者与应用流量的功能。
这项功能之所以对次世代防火墙十分重要,主要缘由除可以帮助迅速找出问题外,还有一个
V
重点,即惟独透过提供这种可视性,才干实现帮助企业在 NGFW 上控管(Network Access
Control,NAC)基础的网络存取功能,从而帮助企业在平安政策和阻止大规模感染上更
有,将感染限制在一定区域。
NGFW 还能进一步针对特定应用的特定功能管控。例如 Gartner 报告认为,可以针对
Skype 的这种应用,只关闭档案传输功能,类似这样的能力才算做到对应用程序识别管理的
能力。目前,已有部分产品可以达成这样的功能。
提供可视性,透过深层封包检测能力管理流量,是次世代防火墙和传统防火墙最大的不同。
将来会有越来越多提供防火墙功能的设备商,朝此方向前进。
二、能够提供更具和灵便性的架构
次世代防火墙的一个重要特性在于能提供更具弹性和灵便性的架构,切断软、硬件功能的脐
带则是其灵便特性的一个重点。
过去的防火墙产品,买了硬件,的功能就固定无法变动,NGFW 将能松动这个羁绊。为更灵
便地调配硬件资源,NGFW 将走向软件功能与硬件分开运作的道路,如此,扩充硬件时不再
有过去由于购买的单纯是硬件资源的受限问题,软件功能则挺直做在原有设备上。
例如,用法者若要增强防火墙的硬件效能,仅购买硬件的模组即可,每个模组并非单独的防
剩余23页未读,继续阅读
资源评论
m0_63511380
- 粉丝: 0
- 资源: 9万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功