防火墻深度檢測技術(shù)在企業(yè)中的應(yīng)用

申請免費(fèi)試用、咨詢電話：400-8352-114

防火墻在抵制企業(yè)網(wǎng)絡(luò)外部攻擊、保障企業(yè)內(nèi)部網(wǎng)絡(luò)安全性與穩(wěn)定運(yùn)行起著不可磨滅的作用。但是，由于隱藏在應(yīng)用層中的攻擊方式越來越多，這就給企業(yè)防火墻提出了一個新的挑戰(zhàn)，要能夠檢測出隱藏在應(yīng)用層數(shù)據(jù)流中的攻擊。如在郵件中包含病毒附件與非法代碼，就是針對應(yīng)用層的攻擊。

為了應(yīng)對這種攻擊，防火墻提出了一個種深度檢測的技術(shù)。簡單的說，就是通過各種手段實(shí)現(xiàn)對應(yīng)用層攻擊的過濾。那么，防火墻的深度檢測技術(shù)到底是如何起作用的;我們在選購帶有深度檢測技術(shù)的防火墻又該注意一點(diǎn)什么呢?筆者在此總結(jié)了幾點(diǎn)，希望能夠?qū)Υ蠹矣兴鶐椭?/P>

一、能否實(shí)現(xiàn)應(yīng)用層加密、解密?

對應(yīng)用層數(shù)據(jù)進(jìn)行加密，已經(jīng)被廣泛的應(yīng)用于各種場合，以提高數(shù)據(jù)的安全性。如在郵箱系統(tǒng)中，就采用了SSL的加密機(jī)制。用戶可以選擇是否要對郵件的內(nèi)容進(jìn)行加密。若用戶選擇SSL加密的話，則在郵件發(fā)送的時候，郵箱系統(tǒng)會自動對整封郵件在應(yīng)用層面上進(jìn)行加密。

為此，這就對深度檢測防火墻提出了新的挑戰(zhàn)，防火墻必須要有對應(yīng)用層數(shù)據(jù)進(jìn)行加密、解密的能力。因?yàn)橄褚恍┎《距]件，其往往隱藏在郵件的附件中，也就是隱藏在應(yīng)用層的數(shù)據(jù)中。而因?yàn)閷?yīng)用層的數(shù)據(jù)采取了加密處理，所以，一般防火墻不能夠辨別應(yīng)用層數(shù)據(jù)中是否存在著病毒文件。只有防火墻能夠?qū)?yīng)用層數(shù)據(jù)進(jìn)行解密、加密的能力，才能夠判斷數(shù)據(jù)包中是否含有應(yīng)用層的攻擊信息。所以，如果防火墻的深度檢測功能不能夠?qū)ζ髽I(yè)中的關(guān)鍵應(yīng)用，如郵件系統(tǒng)，提供深度檢測安全性的話(即對應(yīng)用層數(shù)據(jù)進(jìn)行解密后的檢測)，則整個深度檢測就會失去其存在的意義。換句話說，深度檢測只能夠檢測未經(jīng)過加密處理的應(yīng)用層數(shù)據(jù)，其效果就會大大的打折扣。

在企業(yè)的關(guān)鍵應(yīng)用中，一般郵件系統(tǒng)中會實(shí)現(xiàn)應(yīng)用層的數(shù)據(jù)加密。除了這個應(yīng)用外，企業(yè)可能在VPN、FTP服務(wù)器、OA服務(wù)器中也實(shí)現(xiàn)了類似SSL的加密機(jī)制。根據(jù)筆者的了解，只要能夠在互聯(lián)網(wǎng)上進(jìn)行訪問的信息化應(yīng)用，一般都會在應(yīng)用層上對數(shù)據(jù)加密，以提高數(shù)據(jù)的安全性。通過對應(yīng)用層數(shù)據(jù)加密，可以有效的防止攻擊者通過網(wǎng)絡(luò)偵聽的手段竊取公司的機(jī)密數(shù)據(jù)。

所以，無論是在防火墻配置，還是在選購的過程中，企業(yè)一定要關(guān)注防火墻是否具備對應(yīng)用層數(shù)據(jù)的加密、解密能力。然后根據(jù)企業(yè)自身的關(guān)鍵應(yīng)用，來判斷防火墻是否需要這方面的功能。若企業(yè)現(xiàn)在或者將來的網(wǎng)絡(luò)應(yīng)用中，要利用SSL等技術(shù)對應(yīng)用層數(shù)據(jù)進(jìn)行加密的話，則最好讓防火墻的深度檢測技術(shù)實(shí)現(xiàn)應(yīng)用層的加密解密功能。否則其效果就會打?qū)φ邸?/P>

二、能否有效解決應(yīng)用層字符串匹配問題?

在針對應(yīng)用層的攻擊中，很多是通過字符串的匹配不當(dāng)來實(shí)現(xiàn)的。如典型的欺騙IDS攻擊，就是通過這個字符串不匹配而完成的。

防火墻有時候?yàn)榱肆私饽撤N請求的安全策略是否被啟用，防火墻通常會根據(jù)請求的信息與自身的安全策略來進(jìn)行匹配。一旦條件匹配，防火墻就采用對應(yīng)的安全策略。非法攻擊者會利用各種手段，對用戶的請求信息進(jìn)行偽裝，企圖讓字符串不匹配，以達(dá)到越過安全設(shè)備的目的。

可能上面這段話有點(diǎn)繞口。其實(shí)，我們可以簡單一點(diǎn)來理解。當(dāng)客戶端想通過防火墻的時候，客戶端的數(shù)據(jù)會向防火墻發(fā)送一個請求。在這個請求信息中，會包含是否需要采用某種安全策略的信息，而這些信息都是通過一些特定的字符串來表示。當(dāng)防火墻收到請求信息時，就會把這些字符串跟自身的進(jìn)行對比。若符合，則采取某種安全策略，如加密等;若不符合，則不會采用安全策略，而以普通的方式轉(zhuǎn)發(fā)。

如此，攻擊者只要對請求者的請求信息進(jìn)行隨意的更改，就可能導(dǎo)致請求信息字符串與防火墻中的字符串不匹配，從而繞過安全設(shè)備，進(jìn)行一些非法的勾當(dāng)。為了解決這個字符串匹配問題，深度檢測技術(shù)設(shè)計(jì)了一種“正常化技術(shù)”。通過這種技術(shù)，能夠讓深度檢測識別隱藏在URL編碼、Unicode數(shù)據(jù)中的應(yīng)用層攻擊行為，以提高應(yīng)用層數(shù)據(jù)的安全性。

所以，深度檢測技術(shù)不僅要求防火墻能夠?qū)?yīng)用層的數(shù)據(jù)進(jìn)行加密、解密;而且還要求其對應(yīng)用層數(shù)據(jù)的字符串匹配問題提出有效的解決方案。只有如此，才能夠切實(shí)的實(shí)現(xiàn)深度檢測的目的。

三、能否判斷協(xié)議的一致性?

眾所周知，數(shù)據(jù)要在網(wǎng)絡(luò)上傳輸，都必須遵守一定的規(guī)范。就好像汽車在馬路上行駛必須遵守交通法規(guī)，否則會亂套。在網(wǎng)絡(luò)上，數(shù)據(jù)的交通法規(guī)就是各種應(yīng)用層協(xié)議。如HTTP、SMTP、FTP協(xié)議等等。這些協(xié)議都有全球統(tǒng)一的規(guī)范。如果員工發(fā)送一封郵件，則應(yīng)用層的數(shù)據(jù)必須符合SMTP協(xié)議的規(guī)范。

但是，很多攻擊者就利用這些規(guī)范來對企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊。如在郵件中，會插入FTP協(xié)議的內(nèi)容。當(dāng)用戶查看郵件內(nèi)容的時候，在不知情的情況下，系統(tǒng)自動從FTP服務(wù)器上下載木馬、病毒等非法軟件，實(shí)現(xiàn)應(yīng)用層的攻擊。

所以，深度檢測技術(shù)既然能夠檢測應(yīng)用層的數(shù)據(jù)，則我們就希望他好事做到底，能夠進(jìn)一步判斷協(xié)議的一致性。也就是說，其應(yīng)用層中的數(shù)據(jù)所采用的協(xié)議跟其所聲明的協(xié)議類型是否一致。如果不一致的話，則防火墻就需要過濾這個數(shù)據(jù)包，并向管理員提出警告。如果一致的話，就順利轉(zhuǎn)發(fā)。筆者認(rèn)為，深度檢測防火墻必須確認(rèn)應(yīng)用層數(shù)據(jù)流是否與這些協(xié)議定義一樣，以防止隱藏在其中的攻擊。這主要是通過對協(xié)議報(bào)文的不同字段進(jìn)行解密而實(shí)現(xiàn)。當(dāng)協(xié)議中的字段被識別出來后，防火墻采用這個協(xié)議定義的應(yīng)用規(guī)則，來檢查其合法性。

現(xiàn)在的防火墻基本上能夠辨別某種數(shù)據(jù)類型所采用的協(xié)議;他們可以通過各種協(xié)議來采取控制措施。如只允許外部網(wǎng)絡(luò)的特定主機(jī)訪問企業(yè)內(nèi)部的FTP服務(wù)器。這主要就是過濾FTP協(xié)議的數(shù)據(jù)流量來實(shí)現(xiàn)。但是，這并不表明其可以判斷應(yīng)用層的數(shù)據(jù)流是否與這些協(xié)議相一致。這里還有一個判斷比較的過程。

一般來說，企業(yè)若在內(nèi)部部署了FTP服務(wù)器、郵箱服務(wù)器等關(guān)鍵應(yīng)用的時候，最好能夠讓深度檢測的防火墻正確判斷協(xié)議的一致性。因?yàn)檫@些應(yīng)用，最容易遭受類似的攻擊。

總之，深度檢測的目的是希望能夠?qū)Φ谒膶拥降谄邔拥臄?shù)據(jù)流進(jìn)行檢測與控制，來提高防火墻的應(yīng)用價值。由于深度檢測涉及到了比較上層的數(shù)據(jù)，所以，其技術(shù)是隨著應(yīng)用層技術(shù)的發(fā)展而不斷發(fā)展的。這也就意味著防火墻的深度檢測技術(shù)是否成熟沒有統(tǒng)一的標(biāo)準(zhǔn)。

筆者的建議是，企業(yè)若在內(nèi)部部署了一些關(guān)鍵應(yīng)用，而這些應(yīng)用又對互聯(lián)網(wǎng)是開放的話，則防火墻的深度檢測時必需的。企業(yè)的安全管理人員，應(yīng)該要確保自己所部署的防火墻能夠滿足這些關(guān)鍵應(yīng)用的需求，特別是應(yīng)用層加密解密數(shù)據(jù)的需求。否則的話，就可能大大降低防火墻的效用。（IT專家網(wǎng)）