1.未能正确配置和协调防火墙,并使用越来越多基于云计算的安全基础设施
网络安全和存储产品供应商Barracuda Networks公司咨询工程师Stefan Schachinger表示,网络边界几乎已经消失,如今防火墙只是分布式安全生态系统的一个组成部分。
将数据中心与分支机构、移动工作者和维护人员连接的***需要连续的远程访问。与此同时,应用程序和数据资源正迅速转向IaaS和SaaS平台。Schachinger指出,“大多数公司正在向混合云环境过渡。保护这样的基础设施不仅仅需要防火墙。当今不断发展并且更加分散的环境需要一种分层的纵深防御方法,在这种方法中,防火墙需要与安全生态系统的其余部分协同工作。”
2.误用端口转发规则进行远程访问
在不限制端口或源IP地址的情况下,使用端口转发规则来完成对LAN端机的远程访问并不是一个好主意。Mushroom网络公司首席执行官Jay Akin说,“这是一个常见的错误,因为它是设置远程访问的方法。”该公司是一家结合防火墙和其他安全属性的SD-WAN设备开发商。
而粗心大意的端口转发进行远程访问会显著增加安全漏洞的风险。“如果本地可信设备通过这个安全漏洞被未经***的***和个人实施访问和攻击,则可以进一步利用网络LAN部分中的可信设备来攻击其他设备或资产。”Akin解释说。
一、什么是Waf?
Waf的全拼为:Web Application Firewall,顾名思义waf是一款针对web端的防火墙产品。目前基于web端的业务往来越来越多,大部分数据和工作信息都转移到了web端,这就导致会将web端成为了攻击的主要目标,所以对于web的安全防护就变得非常重要了。而waf则是web防护的道防线,waf在web的安全防护上起着重要的作用。
二、Waf形态分类
目前市场上一共分为3种类型的waf
①云waf
②软件waf
③硬件waf
硬件waf一般需要需要安装硬件防护,将waf串行在web服务器前端,用户阻断、检测异常流量。常规硬件Waf的实现方式是通过代理来自外部的流量,并对请求包进行解析,通过安全规则库的攻击规则进行匹配,如成功匹配规则库中的规则,则识别为异常并进行请求阻断。
软件Waf则是安装在需要防护的服务器上,实现方式通常是Waf端口或以Web容器扩展方式进行请求检测和阻断。
云Waf是近年来随着云计算的推动衍生出来的新产品,云WAF,企业级防火墙选型,也称WEB应用防火墙的云模式,这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实现方式是利用DNS技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,华三 企业级防火墙,如存在异常请求则进行拦截否则将请求转发至真实服务器。
三、优缺点总结
不同形态的waf产品适用于不同的用户,并且不同形态的waf产品优缺点也不同。
滤防火墙
滤防火墙控制OSI的三、四层,茂名企业级防火墙,一般是通过***来匹配数据包内容,以决定哪些包被允许和哪些包被拒绝。
优点:
能以很快的速度处理数据包
易于匹配绝大多数的3、4层报头信息
缺点:
***过多导致配置复杂
不能阻止应用层的攻击
不能检测和阻止某些类型的TCP/IP攻击,比如TCP SYN泛洪和IP欺骗
状态检测防火墙
控制OSI的三、四、五层
状态检测防火墙工作在数据链路层和网络层之间,对于新建的应用连接,它从这里截取数据包提取出的信息,并根据对应的安全策略及过滤规则处理数据包,生成状态表,这样防火墙确保了截取和检查所有通过网络的原始数据包。然后将相关信息组合起来,进行一些逻辑或数算,获得相应的结论,进行相应的操作,如允许数据包通过、拒绝数据包、认证连接,加密数据等。状态检测防火墙虽然工作在协议栈较低层,但它检测所有应用层的数据包,从中提取有用信息,如IP地址、端口号等,这样安全性得到很大提高。另外在这种防火墙中一旦一个连接建立起来,企业级防火墙价钱,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行效率明显提高。
状态检测防火墙实现了基于UDP应用的安全,通过在UDP通信之上保持一个虚拟连接来实现。防火墙保存通过网关的每一个连接的状态信息,允许穿过防火墙的UDP请求包被记录,当UDP包在相反方向上通过时,依据连接状态表确定该UDP包是否被***的,若已被***,则通过,否则拒绝。如果在的一段时间内响应数据包没有到达,连接超时,则该连接被阻塞,这样所有的攻击都被阻塞。状态检测防火墙可以控制无效连接的连接时间,避免大量的无效连接占用过多的网络资源,可以很好的降低攻击的风险。
版权所有©2024 产品网
