为什么普通防火墙阻止不了这类攻击?
时间:2021-03-04

单靠防火墙已经不足以保护在线资产。如今,黑客及其攻击策略变得越来越聪明和危险。目前主要威胁之一是应用层攻击,可以潜入防火墙甚至Web应用。是的,这些攻击中有许多喜欢针对有价值的客户数据。

那么,为什么普通防火墙阻止不了这样的攻击呢?因为这种攻击伪装成正常流量,没有特别大的数据包,地址和内容也没有可疑的不匹配,所以不会触发报警。最可怕的例子就是SQLinjection。在这次攻击中,黑客使用您自己的一个HTML表单未经授权查询数据库。另一个威胁是命令执行。只要网络应用程序向外壳程序发送命令,狡猾的黑客就可以在服务器上随意执行命令。

其他攻击更简单。比如HTML注释往往包含敏感信息,包括粗心的程序员留下的登录信息。所以针对应用层的攻击方式,从篡改COOKIEs到改变HTML表单中的隐藏字段,完全取决于黑客的想象。但好消息是,大多数这些攻击是完全可以预防的。

如果结合使用,这两种互补的方案可以提供稳定的防线。首先,使用应用程序扫描器彻底扫描您的Web应用程序,以找到漏洞。然后,使用Web应用防火墙来防止犯罪分子闯入。

应用程序扫描器基本上可以对您的服务器发起一系列模拟攻击,然后报告结果。KaVaDoScanDo、SanctumAppScanAudit和SPIDynamics在详细列出缺陷和建议补救措施方面具有相当全面的功能。AppScanAudit值得特别关注,因为这个产品有一个事后检查功能,可以帮助程序员在编译代码时发现漏洞。然而,这些工具包都无法与安全专业人员的全面审查相提并论。

一旦你成功堵住了漏洞,下一步就是部署网络应用防火墙。这种防火墙的工作方式很有趣:找出进出应用程序的正常流量,然后找出异常流量。因此,Web应用防火墙对数据包的检查必须比普通防火墙更深入。CheckPoint在这方面最出名,但其他厂商如KaVaDo、NetContinuum、Sanctum、Teros相对不那么出名。这些防火墙有的使用软件,有的使用硬件,有的两者兼有。但是不要把这种防火墙误认为即插即用,即使它使用硬件。和入侵检测系统一样,你要仔细调整Web应用的防火墙,减少误报,防止攻击偷偷潜入。

因为垃圾邮件和越来越狡猾的攻击,如果你认为安装防火墙一切都会好的,你会安心,你应该仔细想想你应该做什么。