防火墻深度檢測(cè)技術(shù)在企業(yè)中的應(yīng)用

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

防火墻在抵制企業(yè)網(wǎng)絡(luò)外部攻擊、保障企業(yè)內(nèi)部網(wǎng)絡(luò)安全性與穩(wěn)定運(yùn)行起著不可磨滅的作用。但是，由于隱藏在應(yīng)用層中的攻擊方式越來(lái)越多，這就給企業(yè)防火墻提出了一個(gè)新的挑戰(zhàn)，要能夠檢測(cè)出隱藏在應(yīng)用層數(shù)據(jù)流中的攻擊。如在郵件中包含病毒附件與非法代碼，就是針對(duì)應(yīng)用層的攻擊。

為了應(yīng)對(duì)這種攻擊，防火墻提出了一個(gè)種深度檢測(cè)的技術(shù)。簡(jiǎn)單的說(shuō)，就是通過(guò)各種手段實(shí)現(xiàn)對(duì)應(yīng)用層攻擊的過(guò)濾。那么，防火墻的深度檢測(cè)技術(shù)到底是如何起作用的;我們?cè)谶x購(gòu)帶有深度檢測(cè)技術(shù)的防火墻又該注意一點(diǎn)什么呢?筆者在此總結(jié)了幾點(diǎn)，希望能夠?qū)Υ蠹矣兴鶐椭?/P>

一、能否實(shí)現(xiàn)應(yīng)用層加密、解密?

對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行加密，已經(jīng)被廣泛的應(yīng)用于各種場(chǎng)合，以提高數(shù)據(jù)的安全性。如在郵箱系統(tǒng)中，就采用了SSL的加密機(jī)制。用戶可以選擇是否要對(duì)郵件的內(nèi)容進(jìn)行加密。若用戶選擇SSL加密的話，則在郵件發(fā)送的時(shí)候，郵箱系統(tǒng)會(huì)自動(dòng)對(duì)整封郵件在應(yīng)用層面上進(jìn)行加密。

為此，這就對(duì)深度檢測(cè)防火墻提出了新的挑戰(zhàn)，防火墻必須要有對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行加密、解密的能力。因?yàn)橄褚恍┎《距]件，其往往隱藏在郵件的附件中，也就是隱藏在應(yīng)用層的數(shù)據(jù)中。而因?yàn)閷?duì)應(yīng)用層的數(shù)據(jù)采取了加密處理，所以，一般防火墻不能夠辨別應(yīng)用層數(shù)據(jù)中是否存在著病毒文件。只有防火墻能夠?qū)?yīng)用層數(shù)據(jù)進(jìn)行解密、加密的能力，才能夠判斷數(shù)據(jù)包中是否含有應(yīng)用層的攻擊信息。所以，如果防火墻的深度檢測(cè)功能不能夠?qū)ζ髽I(yè)中的關(guān)鍵應(yīng)用，如郵件系統(tǒng)，提供深度檢測(cè)安全性的話(即對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行解密后的檢測(cè))，則整個(gè)深度檢測(cè)就會(huì)失去其存在的意義。換句話說(shuō)，深度檢測(cè)只能夠檢測(cè)未經(jīng)過(guò)加密處理的應(yīng)用層數(shù)據(jù)，其效果就會(huì)大大的打折扣。

在企業(yè)的關(guān)鍵應(yīng)用中，一般郵件系統(tǒng)中會(huì)實(shí)現(xiàn)應(yīng)用層的數(shù)據(jù)加密。除了這個(gè)應(yīng)用外，企業(yè)可能在VPN、FTP服務(wù)器、OA服務(wù)器中也實(shí)現(xiàn)了類似SSL的加密機(jī)制。根據(jù)筆者的了解，只要能夠在互聯(lián)網(wǎng)上進(jìn)行訪問(wèn)的信息化應(yīng)用，一般都會(huì)在應(yīng)用層上對(duì)數(shù)據(jù)加密，以提高數(shù)據(jù)的安全性。通過(guò)對(duì)應(yīng)用層數(shù)據(jù)加密，可以有效的防止攻擊者通過(guò)網(wǎng)絡(luò)偵聽的手段竊取公司的機(jī)密數(shù)據(jù)。

所以，無(wú)論是在防火墻配置，還是在選購(gòu)的過(guò)程中，企業(yè)一定要關(guān)注防火墻是否具備對(duì)應(yīng)用層數(shù)據(jù)的加密、解密能力。然后根據(jù)企業(yè)自身的關(guān)鍵應(yīng)用，來(lái)判斷防火墻是否需要這方面的功能。若企業(yè)現(xiàn)在或者將來(lái)的網(wǎng)絡(luò)應(yīng)用中，要利用SSL等技術(shù)對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行加密的話，則最好讓防火墻的深度檢測(cè)技術(shù)實(shí)現(xiàn)應(yīng)用層的加密解密功能。否則其效果就會(huì)打?qū)φ邸?/P>

二、能否有效解決應(yīng)用層字符串匹配問(wèn)題?

在針對(duì)應(yīng)用層的攻擊中，很多是通過(guò)字符串的匹配不當(dāng)來(lái)實(shí)現(xiàn)的。如典型的欺騙IDS攻擊，就是通過(guò)這個(gè)字符串不匹配而完成的。

防火墻有時(shí)候?yàn)榱肆私饽撤N請(qǐng)求的安全策略是否被啟用，防火墻通常會(huì)根據(jù)請(qǐng)求的信息與自身的安全策略來(lái)進(jìn)行匹配。一旦條件匹配，防火墻就采用對(duì)應(yīng)的安全策略。非法攻擊者會(huì)利用各種手段，對(duì)用戶的請(qǐng)求信息進(jìn)行偽裝，企圖讓字符串不匹配，以達(dá)到越過(guò)安全設(shè)備的目的。

可能上面這段話有點(diǎn)繞口。其實(shí)，我們可以簡(jiǎn)單一點(diǎn)來(lái)理解。當(dāng)客戶端想通過(guò)防火墻的時(shí)候，客戶端的數(shù)據(jù)會(huì)向防火墻發(fā)送一個(gè)請(qǐng)求。在這個(gè)請(qǐng)求信息中，會(huì)包含是否需要采用某種安全策略的信息，而這些信息都是通過(guò)一些特定的字符串來(lái)表示。當(dāng)防火墻收到請(qǐng)求信息時(shí)，就會(huì)把這些字符串跟自身的進(jìn)行對(duì)比。若符合，則采取某種安全策略，如加密等;若不符合，則不會(huì)采用安全策略，而以普通的方式轉(zhuǎn)發(fā)。

如此，攻擊者只要對(duì)請(qǐng)求者的請(qǐng)求信息進(jìn)行隨意的更改，就可能導(dǎo)致請(qǐng)求信息字符串與防火墻中的字符串不匹配，從而繞過(guò)安全設(shè)備，進(jìn)行一些非法的勾當(dāng)。為了解決這個(gè)字符串匹配問(wèn)題，深度檢測(cè)技術(shù)設(shè)計(jì)了一種“正?；夹g(shù)”。通過(guò)這種技術(shù)，能夠讓深度檢測(cè)識(shí)別隱藏在URL編碼、Unicode數(shù)據(jù)中的應(yīng)用層攻擊行為，以提高應(yīng)用層數(shù)據(jù)的安全性。

所以，深度檢測(cè)技術(shù)不僅要求防火墻能夠?qū)?yīng)用層的數(shù)據(jù)進(jìn)行加密、解密;而且還要求其對(duì)應(yīng)用層數(shù)據(jù)的字符串匹配問(wèn)題提出有效的解決方案。只有如此，才能夠切實(shí)的實(shí)現(xiàn)深度檢測(cè)的目的。

三、能否判斷協(xié)議的一致性?

眾所周知，數(shù)據(jù)要在網(wǎng)絡(luò)上傳輸，都必須遵守一定的規(guī)范。就好像汽車在馬路上行駛必須遵守交通法規(guī)，否則會(huì)亂套。在網(wǎng)絡(luò)上，數(shù)據(jù)的交通法規(guī)就是各種應(yīng)用層協(xié)議。如HTTP、SMTP、FTP協(xié)議等等。這些協(xié)議都有全球統(tǒng)一的規(guī)范。如果員工發(fā)送一封郵件，則應(yīng)用層的數(shù)據(jù)必須符合SMTP協(xié)議的規(guī)范。

但是，很多攻擊者就利用這些規(guī)范來(lái)對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊。如在郵件中，會(huì)插入FTP協(xié)議的內(nèi)容。當(dāng)用戶查看郵件內(nèi)容的時(shí)候，在不知情的情況下，系統(tǒng)自動(dòng)從FTP服務(wù)器上下載木馬、病毒等非法軟件，實(shí)現(xiàn)應(yīng)用層的攻擊。

所以，深度檢測(cè)技術(shù)既然能夠檢測(cè)應(yīng)用層的數(shù)據(jù)，則我們就希望他好事做到底，能夠進(jìn)一步判斷協(xié)議的一致性。也就是說(shuō)，其應(yīng)用層中的數(shù)據(jù)所采用的協(xié)議跟其所聲明的協(xié)議類型是否一致。如果不一致的話，則防火墻就需要過(guò)濾這個(gè)數(shù)據(jù)包，并向管理員提出警告。如果一致的話，就順利轉(zhuǎn)發(fā)。筆者認(rèn)為，深度檢測(cè)防火墻必須確認(rèn)應(yīng)用層數(shù)據(jù)流是否與這些協(xié)議定義一樣，以防止隱藏在其中的攻擊。這主要是通過(guò)對(duì)協(xié)議報(bào)文的不同字段進(jìn)行解密而實(shí)現(xiàn)。當(dāng)協(xié)議中的字段被識(shí)別出來(lái)后，防火墻采用這個(gè)協(xié)議定義的應(yīng)用規(guī)則，來(lái)檢查其合法性。

現(xiàn)在的防火墻基本上能夠辨別某種數(shù)據(jù)類型所采用的協(xié)議;他們可以通過(guò)各種協(xié)議來(lái)采取控制措施。如只允許外部網(wǎng)絡(luò)的特定主機(jī)訪問(wèn)企業(yè)內(nèi)部的FTP服務(wù)器。這主要就是過(guò)濾FTP協(xié)議的數(shù)據(jù)流量來(lái)實(shí)現(xiàn)。但是，這并不表明其可以判斷應(yīng)用層的數(shù)據(jù)流是否與這些協(xié)議相一致。這里還有一個(gè)判斷比較的過(guò)程。

一般來(lái)說(shuō)，企業(yè)若在內(nèi)部部署了FTP服務(wù)器、郵箱服務(wù)器等關(guān)鍵應(yīng)用的時(shí)候，最好能夠讓深度檢測(cè)的防火墻正確判斷協(xié)議的一致性。因?yàn)檫@些應(yīng)用，最容易遭受類似的攻擊。

總之，深度檢測(cè)的目的是希望能夠?qū)Φ谒膶拥降谄邔拥臄?shù)據(jù)流進(jìn)行檢測(cè)與控制，來(lái)提高防火墻的應(yīng)用價(jià)值。由于深度檢測(cè)涉及到了比較上層的數(shù)據(jù)，所以，其技術(shù)是隨著應(yīng)用層技術(shù)的發(fā)展而不斷發(fā)展的。這也就意味著防火墻的深度檢測(cè)技術(shù)是否成熟沒有統(tǒng)一的標(biāo)準(zhǔn)。

筆者的建議是，企業(yè)若在內(nèi)部部署了一些關(guān)鍵應(yīng)用，而這些應(yīng)用又對(duì)互聯(lián)網(wǎng)是開放的話，則防火墻的深度檢測(cè)時(shí)必需的。企業(yè)的安全管理人員，應(yīng)該要確保自己所部署的防火墻能夠滿足這些關(guān)鍵應(yīng)用的需求，特別是應(yīng)用層加密解密數(shù)據(jù)的需求。否則的話，就可能大大降低防火墻的效用。（IT專家網(wǎng)）