1,無法檢測加密的Web流量。
如果您正在部署壹個門戶,您希望網絡層和應用層中的所有漏洞對應用程序都是屏蔽的。這個要求對於傳統的網絡防火墻來說是壹個大問題。
由於網絡防火墻對加密SSL流中的數據是不可見的,防火墻無法攔截SSL數據流並快速解密,因此無法阻止應用程序的攻擊,甚至有些網絡防火墻根本不提供數據解密的功能。
2.普通的應用程序經過加密後,很容易逃脫防火墻的檢測。
網絡防火墻看不到的不僅僅是SSL加密的數據。它對應用程序加密的數據也是不可見的。現在,大多數網絡防火墻依賴於靜態特征庫,這類似於入侵檢測系統(IDS)的原理。只有當應用層攻擊行為的特征與防火墻中數據庫中已有的特征完全匹配時,防火墻才能識別和攔截攻擊數據。
但現在,利用常見的編碼技術,可以將惡意代碼等攻擊命令隱藏起來,轉換成某種形式,不僅可以欺騙前端的網絡安全系統,還可以在後臺服務器中執行。只要加密的攻擊代碼與防火墻規則庫中的規則不同,就可以避開網絡防火墻,成功避免特征匹配。
3.對於Web應用,防範能力不足。
網絡防火墻是1990年發明的,而商用Web服務器是壹年後才出來的。基於狀態檢測的防火墻的設計原理是在網絡層設置和加強基於TCP和IP地址的狀態訪問控制列表。在這方面,網絡防火墻的性能確實很優秀。
近年來,HTTP是實際應用中主要的傳輸協議。主流平臺提供商和大型應用提供商都已經轉向基於Web的架構,安全保護的目標不再僅僅是重要的業務數據。網絡防火墻的保護範圍發生了變化。
通用網絡防火墻仍然占有很高的市場份額,繼續在防範傳統企業局域網方面發揮重要作用。然而,對於新興的上層協議,如XML和SOAP,網絡防火墻有些不足。
由於架構的原因,即使是最先進的網絡防火墻也無法完全控制網絡、應用和數據流,在阻止Web應用時也無法攔截應用層的攻擊。很難防止新的和未知的攻擊,因為缺乏對整個應用數據流的基於會話級別的完整監控能力。
4、防護功能的應用,只適用於簡單的情況。
當前的數據中心服務器經常發生變化,例如:
(1),新應用需要定期部署;
(2)軟件模塊需要頻繁添加或更新;
(3) QA人員經常會發現代碼中的bug,部署的系統需要定期打補丁。
在這樣壹個動態復雜的環境中,安全專家需要采用靈活的粗粒度方法來實施有效的保護策略。
雖然壹些先進的網絡防火墻供應商提出了應用程序保護的特點,但它們只適用於簡單的環境。如果妳仔細觀察,妳會發現這些特性對於實際的企業應用來說是有局限性的。在大多數情況下,“概念驗證”概念的特征不能應用於現實生活中的數據中心。
例如,壹些防火墻供應商曾經聲稱可以防止緩存溢出:當黑客在瀏覽器的URL中輸入過長的數據,試圖使後臺服務崩潰或試圖非法訪問時,網絡防火墻可以檢測並阻止這種情況。
如果妳仔細觀察,會發現這些廠商都是用控制80口數據流中URL長度的方法來實現這個功能的。
如果您使用此規則,它將對所有應用程序生效。如果壹個程序或者壹個簡單的網頁確實需要涉及壹個很長的URL,那麽就有必要屏蔽這個規則。
網絡防火墻的架構決定了網絡防火墻運行在網絡端口和網絡層,除非是壹些非常簡單的應用,否則很難保護應用層。
5.皮帶深度檢測功能無法擴展。
基於狀態檢測的網絡防火墻如果只是想擴展深度檢測的功能而不增加網絡性能是行不通的。