應(yīng)用層攻擊挑戰(zhàn)傳統(tǒng)防火墻 　　

　　最近兩年來(lái)，攻擊者的興趣明顯從端口掃描和制造拒絕服務(wù)攻擊（DoS Attack）轉(zhuǎn)向了針對(duì)Web、E-mail甚至數(shù)據(jù)庫(kù)等主流應(yīng)用的攻擊。傳統(tǒng)的防火墻僅僅檢查IP數(shù)據(jù)包的包頭，而忽略了內(nèi)容――如果用信件來(lái)做比喻，也就是只檢查了信封而沒有檢查信紙。因此對(duì)這類應(yīng)用層的攻擊無(wú)能為力。可以說(shuō)，僅僅靠第三層和第四層的IP地址和協(xié)議端口過(guò)濾的防火墻產(chǎn)品早已走到了盡頭。 　　

　　戰(zhàn)火燒向七層 　　

　　為了對(duì)抗應(yīng)用層（OSI網(wǎng)絡(luò)模型的第七層）的攻擊，防火墻必須具備應(yīng)用層的過(guò)濾能力，一些防火墻產(chǎn)品已經(jīng)具備了這種能力。 　　

　　如果把計(jì)算機(jī)網(wǎng)絡(luò)比做一座建筑，傳統(tǒng)的包過(guò)濾防火墻就是在企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間的一系列并列的門。每道門都有安檢人員對(duì)到達(dá)的包裹（IP數(shù)據(jù)包）進(jìn)行逐一檢查，若沒有發(fā)現(xiàn)數(shù)據(jù)包含有異常代碼便開門放行。攻擊者常用的伎倆就是通過(guò)端口掃描來(lái)檢查哪些門是敞開不設(shè)防的，然后加以利用。晚些時(shí)候出現(xiàn)的具有狀態(tài)檢測(cè)功能的防火墻可以檢查哪些數(shù)據(jù)包是來(lái)自Internet對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的應(yīng)答。也就是說(shuō)，安檢人員能夠鑒別那些不請(qǐng)自來(lái)的包裹。 　　

　　但應(yīng)用層攻擊就要復(fù)雜得多，因?yàn)楣魯?shù)據(jù)包在絕大多數(shù)情況下是合法的數(shù)據(jù)包，不同的只是內(nèi)容具有攻擊性，而且因?yàn)镮P數(shù)據(jù)包是分段傳輸?shù)模鋬?nèi)容的判別需要將所有相關(guān)的包重組后才能準(zhǔn)確進(jìn)行。一旦這種攻擊數(shù)據(jù)包通過(guò)了防火墻，它們通常會(huì)開始有條不紊地利用目標(biāo)系統(tǒng)的漏洞制造緩沖區(qū)溢出，獲得系統(tǒng)的控制權(quán)，然后以此為平臺(tái)開始尋找周圍其他系統(tǒng)的漏洞或者其他的蠕蟲留下的后門，進(jìn)而展開攻擊。 　　

　　防火墻的對(duì)策 　　

　　對(duì)此，一些防火墻產(chǎn)品采取的應(yīng)對(duì)措施是，針對(duì)每一類主流的應(yīng)用， HTTP、SMTP、FTP和SQL Server數(shù)據(jù)庫(kù)訪問(wèn)（基于RPC）都設(shè)置專門的過(guò)濾器，如果未來(lái)出現(xiàn)新的應(yīng)用層威脅，還可以增加相應(yīng)的過(guò)濾器。用戶可以針對(duì)每一種過(guò)濾器進(jìn)行應(yīng)用相關(guān)的過(guò)濾設(shè)置，例如，可以通過(guò)限制任何HTTP訪問(wèn)請(qǐng)求的緩沖區(qū)不得超過(guò)3000個(gè)字節(jié)來(lái)防止一些蠕蟲的攻擊。在這種新的機(jī)制下，來(lái)自Internet的數(shù)據(jù)包被發(fā)送到各自的過(guò)濾器，過(guò)濾器會(huì)將數(shù)據(jù)包重組后進(jìn)行內(nèi)容掃描和判別。拿一封郵件來(lái)說(shuō)，SMTP過(guò)濾器會(huì)等待相關(guān)的包到齊后，在轉(zhuǎn)發(fā)之前重組郵件對(duì)其內(nèi)容進(jìn)行掃描，與已知類型的攻擊進(jìn)行比對(duì)，在確認(rèn)這是正常流量后才允許通過(guò)。 　　

　　經(jīng)過(guò)正確配置的現(xiàn)代防火墻可以阻擋絕大多數(shù)已知的病毒郵件和攻擊代碼。雖然阻擋未知的病毒和攻擊要困難得多，但是經(jīng)過(guò)合理的策略設(shè)置通常是有效的。正確設(shè)置策略的基礎(chǔ)是企業(yè)用戶對(duì)于自身業(yè)務(wù)需求的正確理解，例如，多數(shù)企業(yè)的用戶通常是沒有必要通過(guò)郵件來(lái)傳遞可執(zhí)行文件和Visual Basic腳本代碼的。用戶可以通過(guò)阻斷含有這類可執(zhí)行附件的郵件來(lái)對(duì)付一些未知的病毒。一旦真的需要發(fā)送這類文件，也可以設(shè)置更有針對(duì)性的策略，比如只允許IT部門的用戶發(fā)送含有可執(zhí)行文件附件郵件，或者允許用戶接收除含有名為“Kournikova.jpg.vbs”的腳本附件之外的所有郵件。 　　

　　安全與性能的矛盾 　

　　用戶早已習(xí)慣于把安全性和性能看成是對(duì)立的，就像在機(jī)場(chǎng)的安檢入口，檢查的步驟越多，等待安檢的隊(duì)伍也就越長(zhǎng)。對(duì)于防火墻來(lái)說(shuō)，性能和安全的確是一對(duì)永遠(yuǎn)的矛盾，但是應(yīng)用層過(guò)濾的功能對(duì)防火墻性能的影響并沒有多數(shù)用戶想象得那么大，一些防火墻標(biāo)稱每秒鐘可處理超過(guò)1000個(gè)并發(fā)用戶，同時(shí)保持每會(huì)話（session）27Mbps的吞吐量。事實(shí)上，有些廠商通過(guò)硬件（ASIC）實(shí)現(xiàn)應(yīng)用層的過(guò)濾引擎，能夠達(dá)到更加接近線速(可理解為以太網(wǎng)交換機(jī)的處理極限)的處理能力。　　

　　新的挑戰(zhàn) 　　

　　具有應(yīng)用層過(guò)濾功能的防火墻可以更有效地阻擋當(dāng)前多數(shù)病毒和攻擊程序，但新的安全威脅的不斷出現(xiàn)又對(duì)防火墻提出了新的挑戰(zhàn)。攻擊的來(lái)源正在變得更加復(fù)雜，而攻擊的手段也愈加高明，最近垃圾郵件與攻擊代碼的結(jié)合就是一個(gè)典型的例證。這一方面需要防火墻設(shè)備對(duì)于應(yīng)用層的內(nèi)容有更好的認(rèn)知和智能判別的能力，另一方面也需要防火墻更多地與其他的安全設(shè)備和應(yīng)用有效配合，從而實(shí)現(xiàn)更加有力的防護(hù)。