- 论坛徽章:
- 3
|
原帖由 ubuntuer 于 2009-12-16 21:12 发表
最近想了解下应用层防火墙,不知道现在实现应用层防火墙的主要技术是什么? or 有没有开源的(linux c)实现的? 先谢谢大家了
说一下个人的看法吧,做了应用防火墙差不多一年了。
大家说的差不多还是传统的网络防火墙,来改造的针对应用防火墙的防御。
实际上应用防火墙要比传统的防火墙复杂得多。传统防火墙主要是针对单个包来进行检测的,另外早期的针对端口和IP进行防护就更初级了。
应用层防护的复杂主要体现在以下几个方面:
1、应用层的编码问题,就够传统防火墙喝一壶的了。先别说HTTPS类加密的传输数据包,就算是编码类型的(URL、UNICODE、UTF8等等),还有正则的匹配,就让内核的处理变得困难重重,性能也大打折扣;
2、应用层的攻击,如注入、XSS、泄漏等等,很大一部分并不是在一个IP包里的,往往分析的时候发现,单个IP包分析不是攻击,但把他们组合起来就是一个攻击了,这种实现,要在内核去组装IP包(不是IP分片包),目前似乎很难实现;
最近看到一个比较新起的牛B公司,提出了一种 stream-based scanning的思想,他把传统的IPS这种架构的检测定义为File-based Scanning,即将一个IP包抽象为一个File。
Stream-based Scanning,主要是体现了应用层的一个完整的流来检测。我不太清楚他这种实现机制,估计需要IC的推动吧。个人观点,应用安全要真的发展起来,必须靠IC的推动,否则,很难有起色。 |
|