当前位置:文档之家› 应用层协议

应用层协议

WEB开发技术

题目:浅谈应用层防火墙

姓名:

班级:

教师:

日期:

评价

报告摘要:

多种的应用层协议是用户使用电脑进行日常的操作的重要组成,也正因如此,Web应用程序攻击是一种最常见的入侵类型。传统的网络防火墙不能检测到应用攻击,原因是它们在合法应用程序的开放端口上才能起作用。但它并不能核查应用程序和应用程序数据,而应用层防火墙的出现,对这一破坏行为有了有理的打击。

1.应用层协议

应用层协议(application layer protocol)是一种运行在不同端系统上的应用程序进程如何相互传递报文。其中包括如下内容:交换的报文类型、各种报文类型的语法、字段的语义、进程何时、如何发送报文及对报文进行响应。

2.应用层协议的种类

●DNS域名系统(Domain Name System,DNS),用于实现网络设备名字到IP 地址映射的网络服务。这样用户就不需要记一串数字的IP地址而是有意义的网址。

●FTP文件传输协议(File Transfer Protocol,FTP),用于实现交互式文件传输功能。

●SMTP简单邮件传送协议(Simple Mail Transfer Protocol, SMTP),用于实现电子邮箱传送功能

●HTTP超文本传输协议(HyperText Transfer Protocol,HTTP),用于实现WWW服务。

●SNMP简单网络管理协议(simple Network Management Protocol,SNMP),用于管理与监视网络设备。

●Telnet远程登录协议(Telnet),用于实现远程登录功能。

由上述的应用层协议可以看出,应用层对用户使用电脑进行日常的操作的重要性,也正因如此,Web应用程序攻击是一种最常见的入侵类型。传统的网络防火墙不能检测到应用攻击,原因是它们在合法应用程序的开放端口上才能起作用。但它并不能核查应用程序和应用程序数据,黑客可以在通过开放防火墙端口时,不知不觉地隐藏恶意活动。由于大多数Web信息流通过端口80或者端口443,而关闭这些端口是不现实的。下面的几个例子是针对应用层的入侵:

●例1:

2013年8月25日凌晨,.CN域名凌晨出现大范围解析故障,经分析.CN的根域授权DNS全线故障,导致大面积.CN域名无法解析。事故造成大量以.cn 和结尾的域名无法访问。直到当日凌晨4点左右,CN根域名服务器的解析才有部分恢复。此后,经CNNIC确认,国家域名解析节点遭受到有史以来规模最大的拒绝服务攻击,导致访问延迟或中断,部分网站的域名解析受到影响。

●例2:

DNET安全频道10月2日国际新闻:目前已经出现一类恶意软件——Fort Disco,旨在利用暴力密码破解攻击突破电子邮件及FTP服务器。

这款恶意软件已经被DDoS攻击防御供应商Arbor Networks公司记录在案,

目前感染的Windows计算机估计超过25000台,影响范围超过6000个管理员用户。一旦计算机受到感染,该恶意软件会定期连接到命令与控制(简称C&C)服务器进行指令检索,其中通常包含数千网站及密码列表、时刻尝试访问其管理员账户。

以暴力方式攻击POP3(Post Office Protocol version 3,允许电子邮件客户端与邮件服务器连接并检索来自现有账户中的信息),对FTP证书进行暴力破解。网络犯罪分子已经可以肆意窥探他人的信息。

●例3:

Telnet攻击常被用来控制主机。对于入侵者而言,telnet不是一个协议只是一种远程登录的工具。一旦入侵者与远程主机建立了telnet连接,入侵者便可以使用目标主机上的软、硬件资源,而入侵者的本地机只相当于一个只有键盘和显示器的终端而已。而入侵者就会使用这台主机当作一个“跳板”,这样在入侵过程中就不会暴露自己的IP地址,亦可以再继续恶意破坏网络。

以上的三个例子都充分的说明了应用层存在的安全隐患,由此应用层防火墙才越来越受到关注。

3. 应用层防火墙(Application level gateway)

也叫应用层网关,或应用层代理防火墙,通常用于描述第三代防火墙。当一个用户在这个可信赖的网络希望连接到在不被信赖的网络的服务,这个应用专注于在防火墙上的代理服务器。这个代理服务器有效地伪装成在因特网上的真实服务器。它评估请求和决定允许或拒绝基于一系列被个人网络服务管理规则的请求。

3.1 工作原理

应用层防火墙是在 TCP/IP 堆栈的应用层上运作的。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。因此,在现代计算环境中,应用层防火墙可以减少攻击面。

一个应用层防火墙有两种途径可以实现,一是主动采取措施的主动安全模型(positive security model),另一种是通过与已知攻击特征进行比对来认定攻击行为的被动安全模型(negative security model)。也就相当于“代理服务器”的能力,这样它就可以保护主体和客体,防止其直接联系。代理服务器可以在其中进行协调,这样它就可以过滤和管理访问,也可以管理主体和客体发出和接收的内容。这种方法可以通过以各种方式集成到现有目录而实现。应用层防火墙还能够仿效暴露在互联网上的服务器,因此正在访问的用户就可以拥有一种更加快速而安全的连接体验。

3.2 使用现状

众所周知,应用防火墙确实有优于包过滤型和全状态包检测型(stateful packet inspection)防火墙的地方。虽然这些类型的防火墙可以防止各种网络层的攻击,但它们却无法阻挡利用大多数Web应用程序漏洞进行的攻击。利用这些严重的漏洞,黑客们操纵URL地址就可以直接攻击目标网站。不过,这些防火墙

相关主题