| 出版日期:2004-03-08 总期号:1294 本年期号:15 |
|
 |
常见防御系统的弊端
高 目前,市面上通常采用的安全检测方法和技术主要包括代理服务器式防火墙、状态监测防火墙和入侵检测等。它们或多或少都存在某些弊端,不能满足用户对安全整合式的需求。 代理服务器对应用协议一知半解 代理服务器式防火墙可以防止针对应用的攻击,该技术是对Client/Server协议的完整执行,但是,这也是其最大的缺点。通常,代理服务器解决方案仅支持几种应用协议,为防止针对某种应用协议的攻击,代理服务器需了解并执行协议中的所有细节。更为复杂的是,绝大多数的供应商在实施协议时均带有不同程度的改动,因此,代理服务器提供的保护功能难以支持新协议,扩展灵活性大大减低。同时,由于以代理服务器作为Client和Server之间的中介方式必定会带来时延,严重影响了系统的性能。还有,由于在网络中复制应用是非常困难的,因此代理服务器较易造成“单一失误点”。由于一个应用代理服务器在User/Application处理层运行,从理论上说,它不了解Network/Kernel的信息。由于代理服务器从不接触独立的封包,因此它无法对原有信息流进行分析并发现攻击。 状态监测防火墙需要再“充电” 目前在全球普及并得到广泛认同的防火墙技术称为状态监测防火墙。它可以根据事先确定的程序,通过访问控制决定何人和何种应用(如互联网或电子邮件等)可被允许出入网络。采用这一技术的系统可以防止一定的网络层攻击,但对越来越多的深层攻击,状态监测防火墙需要再“充电”。 状态监测防火墙是根据会话信息而非封包信息作出其安全决策的,这样可以考虑到“状态”信息。当今针对网络的攻击是隐藏在应用层的信息流,而一般这些信息流是可以自由传送于Client和Server之间,状态监测防火墙的作用就是拦截不需要的信息流,保证有用信息流的进入,而并不对应用流本身进行分析或解释。因此,监测防火墙需要有其他互补型的安全技术辅助,才能有效防御应用层的攻击。 入侵检测系统只能是嗅探器 入侵检测技术曾被人们用在防火墙以外,实现对网络进一步防护的目的。采用入侵检测技术的系统可对用户网络进行监测,并将受到的攻击报告给管理员。这样的一个被动系统,我们只能将其作为一个检测设备,放置在流量路径旁边,充其量只是一个“嗅探器”角色,而不是一个主动拦截攻击/病毒的“主攻手”。入侵检测系统被动性的缺点,使其将安全的重担转嫁于防火墙或网管人员的身上。因而,网管人员需对攻击进行人工调查、分析,并对网络中的应用攻击进行回应。虽然入侵检测系统提供了一些关于网络活动的内部信息,但却无法“防止”应用层的攻击。 入侵防护系统只对部分攻击有效 被动式IDS的弊端,催生一种新型系统——IPS的诞生。这是一个主动式、以防御为主的新方案。目前,一个优秀的IPS解决方案,可有效地对攻击进行精确检测,并在攻击到达目的地之前,迅速有效地对恶意流量进行抛弃或拦截。同时,还可有效降低安全维护成本。但目前传统的IPS只能够对一般的病毒进行签名配对,因此,其检测准确性有限,且预防能力不足。 |
||||||||||||||||||||||||||||||
