拒绝阿喀琉斯之踵一—找安全阿喀琉斯之踵

阿喀琉斯是荷马史诗《伊利亚特》中的英雄,是海洋女神忒提斯与国王佩琉斯的儿子。在阿喀琉斯出生后,他被母亲握住脚踵倒浸在冥河水中,除了未沾到冥河水的脚踵外,全身刀枪不入。在特洛伊战争中,阿喀琉斯杀死特洛伊主将赫克托尔,使希腊军转败为胜,但却被暗箭射中脚踵而死。

这个故事告诉我们,任何一个强者都有弱点!

我们的安全防护体系也同样如此,在搭建之初很可能因为当时的安全威胁特性而留下致命的“缺陷”。那么,安全的“阿克琉斯之踵”在哪里?怎样才能削弱由此带来的危险?

正文:

经过几十年的演变,互联网早已从一个基于学术和军事的专用网络演变为全球重要的信息基础设施,渗透到各个社会领域并产生巨大的影响。但是伴随的是网络威胁也安全威胁日益高级和复杂,传统的安全产品“老三样”在应对不断变化的混合型安全威胁,处理丰富的互联网应用时,已经显得力不从心。

这是一个应用程序越来越丰富的时代。很多BT下载可以隐藏在IPTV协议里面。无论是游戏、视频对话还是下载,都需要做出判断之后再做进一步管理。黑客之所以能够攻击用户,都是利用了防火墙开放的端口,躲过防火墙的监测,直接针对目标应用程序。他们想出复杂的攻击方法,能够绕过传统防火墙。以前的防火墙采用的方式更多是阻断,就像是一座墙,有墙里墙外之分。基于应用层的攻击无疑是翻“墙”而过。据统计,目前70%的攻击是发生在应用层,而不是网络层。

为解决传统防火墙的不足以及Gartner在其2009年的报告中使用“下一代防火墙”一词来表述防火墙为了应对商业处理以及针对公司系统的攻击而进行的演化。以梭子鱼等为代表的安全厂商陆续在国内发布下一代防火墙产品来解决应用层的问题。

下一代防火墙不是简单地根据模式而是按照整体行为来判断是否要进行阻断。例如,如果想控制流媒体不要占用太多流量,在进行识别之后再确定是进行阻断还是监测带宽,而后管理员可以根据公司的情况进行配置。然而,在传统方式下,这种情况是无法识别的。大多数公司都有多条链路。所以,当第一条链路出问题的时候就会自动切换到另一条链路。当然,下一代防火墙支持无线链路,通过无线3G也可以进入。

梭子鱼下一代防火墙将WEB和邮件安全网关、入侵检测、应用安全防护以及流量管理等智能融合于一体,便于企业统一实施管理,不管信息管理人员身处何地,在家中、分支机构还是区域业务总部或是数据中心都可随时远程进行管理工作。

基于应用层的攻击,web安全无疑是重中之重。由于黑客针对Web应用的攻击手段和技术日趋高明、隐蔽,致使大多Web应用处在高风险环境下开展。网站遭受攻击将直接冲破企业应用的安全底线,损害企业的社会形象,导致客户流失。

虽说IDS,IPS通过使用深包检测的技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出已知的网络攻击,达到对web攻击的防护。但是对于未知攻击,和将来才会出现的攻击,以及通过灵活编码和报文分割来实现的web攻击,IDS和IPS同样不能有效的防护。

此时,WEB应用防火墙便应运而生,和传统网络防火墙的低层处理机制以及与IPS对于HTTP、HTTPS和FTP流量的简单操作相比,梭子鱼 WEB应用防火墙则对HTTP流量进行代理,并全面扫描7层数据,确保攻击在到达Web服务器之前就将其阻断。许多Web应用由于断断续续的代码加固及安全维护,致使这些Web应用通常存在严重的安全漏洞及隐患。 火墙能够阻断所有常见的Web攻击。作为一个反向代理,在阻断攻击的同时,能够对外发的HTTP响应进行全面的监控,确保诸如信用卡卡号、社保卡卡号等敏感信息的泄露。结合动态学习功能,梭子鱼应用防火墙能够学习Web服务器的内在结构并生成策略,确保网站的高安全性。