一、面对高级攻击手段的局限性
1、隧道技术的打破:寻址难度较大。攻击者可以通过在普通通信协议上加密传递数据的方式打破防火墙的防御。此种攻击方式称为隧道攻击,虽然防火墙可以依据协议对数据的真伪进行检查,但数据的加密可使协议检查失效。
2、应用层攻击:应用层攻击通常会突破传输层防火墙的防御,利用应用层数据协议上的漏洞直接攻击后端服务器。比如一个%uFEFFHTTP请求,可以混淆请求方法、路径、@param、HEADER、COOKIES等数据,可以访问到目录、文件、数据信息等,亦可以走代理、SSL层进行攻击等。如SQL注入、XSS注入、代码注入、远程代码执行等、应用层DOS攻击等都是此类攻击方式。
3、内侧攻击:内侧攻击就是指内部员工利用网络的安全漏洞或者存在的漏洞进行攻击,通常利用网络恶意软件、钓鱼网站、弱密码等方式获取管理员权限,从而操作攻击内部系统。
4、网站克隆、恶意内容攻击、数字欺骗等高级攻击手段。
二、多层防护无法保证完全安全
防火墙作为一种安全基础设施,通常会被部署在网络架构中的重要位置,以依靠其强大性能保护网络的安全。但是任何基础设施都有可能有漏洞。比如防火墙本身的漏洞可能被攻击者所利用,也有可能被Bypass。不少攻击者甚至利用防火墙窃取管理员密码,反过来访问内部网络并控制目标系统。
三、防火墙无法应对内部攻击和数据泄露
防火墙通常用于保护网络不受外部威胁。但是,如果内部有人故意或无意传播病毒,或者泄露公司敏感信息,此类攻击都是防火墙无法阻止的。此时,应根据具体情况布置内部安全设备,如内部主机辅助程序、反病毒程序等,防止内部人员的非法行为导致数据泄露。
四、漏洞攻击方案
在现有的网络环境中,甲方和乙方之间的通信可能会被第三方监听和监控,比如通过数据包截获、拦截/劫持浏览器请求、欺骗DNS响应、ARP攻击、今日头条攻击、IP地址伪装攻击等手段拦截加密通信内容。防火墙虽然可以依靠自身技能识别这些攻击策略,但是,这些漏洞攻击方案依旧难以完全杜绝。
1、数据包窃听:黑客在目标网络的任意位置部署特制的设备,截获局域网内经过的数据流,通过技术手段将窃听到的数据重新封装为一个数据包后,投递到目标服务器上,极大地增加了网络的风险。
2、攻击者使用虚假的IP地址对系统进行攻击。防火墙检测不出伪造的IP地址,从而会允许伪造地址的数据包存在或进入系统中,从而遭受攻击。
3、ARP欺骗等攻击技巧是指攻击者冒充信任计算机的MAC地址,通过发送假的ARP地址解析协议 (ARP) 来欺骗信任计算机,使其把他所要发送的数据发送给攻击者,从而攻击者就能够轻松窃取会话信息。