《防火墻演化》word版_第1頁(yè)
《防火墻演化》word版_第2頁(yè)
《防火墻演化》word版_第3頁(yè)
《防火墻演化》word版_第4頁(yè)
《防火墻演化》word版_第5頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余1頁(yè)可下載查看

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、.防火墻新技術(shù)深度檢測(cè)狀態(tài)檢測(cè)防火墻是目前使用最廣泛的防火墻,用來(lái)防護(hù)黑客攻擊。但是,隨著專門針對(duì)應(yīng)用層的Web攻擊現(xiàn)象的增多,在攻擊防護(hù)中,狀態(tài)檢測(cè)防火墻的有效性越來(lái)越低。 設(shè)計(jì)狀態(tài)檢測(cè)防火墻時(shí),并沒有專門針對(duì)Web應(yīng)用程序攻擊,為了適應(yīng)不斷增長(zhǎng)的Web應(yīng)用程序的威脅,新一代的深度檢測(cè)防火墻出現(xiàn)了。本文先介紹了防火墻技術(shù)的演變過(guò)程,然后介紹了深度檢測(cè)技術(shù)的四個(gè)基本特征。1、防火墻技術(shù)的演變過(guò)程防火墻技術(shù)的演變過(guò)程,如圖1所示。到目前為止,主要有包過(guò)濾防火墻、狀態(tài)檢測(cè)防護(hù)墻和深度檢測(cè)防火墻三種類型。1.1 包過(guò)濾防火墻(Packet Filter Firewall)包過(guò)濾防火墻-第一代防火墻,

2、沒有狀態(tài)的概念。通過(guò)包過(guò)濾,管理員能夠允許或禁止ACLs(Access Control Lists,訪問(wèn)控制列表)中的選項(xiàng),包過(guò)濾防火墻主要具有以下屬性: 數(shù)據(jù)包到達(dá)的物理網(wǎng)絡(luò)接口; 源IP地址和端口; 目標(biāo)IP地址和端口;但是,包過(guò)濾防火墻的安全性有一定的缺陷,因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無(wú)感知,也就是說(shuō),防火墻不理解通信的內(nèi)容,所以可能被黑客所攻破。由于種種原因,人們認(rèn)為包過(guò)濾防火墻不過(guò)安全,于是逐漸被狀態(tài)檢測(cè)防火墻所取代。1.2 狀態(tài)檢測(cè)防火墻(Stateful Inspection Firewall)狀態(tài)檢測(cè)防火墻出現(xiàn),并成為市場(chǎng)上的絕對(duì)領(lǐng)導(dǎo)者,主要有以下原因,包括性能,部署能力和擴(kuò)展能力。他

3、們?cè)?0年代中期得到了迅速發(fā)展。1993年,Check Point公司成功推出了世界上第一臺(tái)商用的狀態(tài)檢測(cè)防火墻產(chǎn)品。狀態(tài)檢測(cè)防火墻工作于網(wǎng)絡(luò)層,與包過(guò)濾防火墻相比,狀態(tài)檢測(cè)防火墻判斷允許還是禁止數(shù)據(jù)流的依據(jù)也是源IP地址,目的IP地址,源端口,目的端口和通訊協(xié)議等。與包過(guò)濾防火墻不同的是,狀態(tài)檢測(cè)防火墻是基于會(huì)話信息做出決策的,而不是包的信息;狀態(tài)檢測(cè)防火墻驗(yàn)證進(jìn)來(lái)的數(shù)據(jù)包時(shí),判斷當(dāng)前數(shù)據(jù)包是否符合先前允許的會(huì)話,并在狀態(tài)表中保存這些信息。狀態(tài)檢測(cè)防火墻還能阻止基于異常TCP的網(wǎng)絡(luò)層的攻擊行為。網(wǎng)絡(luò)設(shè)備,比如路由器,會(huì)將數(shù)據(jù)包分解成更小的數(shù)據(jù)幀,因此,狀態(tài)檢測(cè)設(shè)備,通常需要進(jìn)行IP數(shù)據(jù)幀的重

4、組,按其原來(lái)順序組裝成完整的數(shù)據(jù)包。狀態(tài)檢測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn),性能比較好,同時(shí)對(duì)應(yīng)用是透明的,在此基礎(chǔ)上,對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn),在防火墻的核心部分建立狀態(tài)連接表,維護(hù)了連接,將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理??梢赃@樣說(shuō),狀態(tài)檢測(cè)包過(guò)濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為,而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。1.3 深度檢測(cè)防火墻(Deep Inspection Firewall)深度檢測(cè)防火墻,將狀態(tài)檢測(cè)和應(yīng)用防火墻技術(shù)結(jié)合在一起,以處理應(yīng)用程序的流量,防范目標(biāo)系統(tǒng)免受各種

5、復(fù)雜的攻擊。結(jié)合了狀態(tài)檢測(cè)的所有功能,深度檢測(cè)防火墻能夠?qū)?shù)據(jù)流量迅速完成網(wǎng)絡(luò)層級(jí)別的分析,并做出訪問(wèn)控制決;對(duì)于允許的數(shù)據(jù)流,根據(jù)應(yīng)用層級(jí)別的信息,對(duì)負(fù)載做出進(jìn)一步的決策。深度檢測(cè)防火墻深入分析了TCP或UDP數(shù)據(jù)包的內(nèi)容,以便對(duì)負(fù)載有個(gè)總的認(rèn)識(shí)2、深度檢測(cè)技術(shù)的四個(gè)基本特征新的深度檢測(cè)技術(shù)仍在不斷出現(xiàn),以實(shí)現(xiàn)不同的深度檢測(cè)功能,但是我們需要了解深度檢測(cè)技術(shù)所具有的基本特征。高級(jí)的深度檢測(cè)防火墻整合了包過(guò)濾防火墻和狀態(tài)檢測(cè)防火墻的所有功能,如圖1所示。高級(jí)的深度檢測(cè)技術(shù)一般具有以下四個(gè)方面的特征: 應(yīng)用層加密/解密; 正?;?; 協(xié)議一致性; 雙向負(fù)載檢測(cè);這四種特征,為Web應(yīng)用程序提供了重

6、要防護(hù),如果其中一種特征沒有實(shí)現(xiàn)的話,深度檢測(cè)防火墻在抵制應(yīng)用層攻擊時(shí),效果會(huì)大打折扣。2.1 應(yīng)用層加密/解密SSL廣泛被應(yīng)用于各種場(chǎng)合,以確保相關(guān)數(shù)據(jù)的安全性。這就對(duì)防火墻提出了新要求:必須能夠處理數(shù)據(jù)加密/解密。如果不對(duì)SSL加密的數(shù)據(jù)進(jìn)行解密,防火墻就不能對(duì)負(fù)載的信息進(jìn)行分析,更不可能判斷數(shù)據(jù)包中是否含有應(yīng)用層攻擊信息。如果沒有解密功能,深度檢測(cè)的所有優(yōu)點(diǎn)都無(wú)法體現(xiàn)出來(lái)。由于SSL加密的安全性很高,企業(yè)常使用SSL技術(shù),以確保關(guān)鍵應(yīng)用程序的通訊數(shù)據(jù)的安全性。如果深度檢測(cè)不能對(duì)企業(yè)中關(guān)鍵應(yīng)用程序提供深度檢測(cè)安全性的話,整個(gè)深度檢測(cè)的優(yōu)勢(shì)將失去意義。2.2 正?;婪稇?yīng)用層攻擊,很大程度上

7、依賴于字符串匹配。不正常的匹配會(huì)造成安全漏洞。比如,為了探知某種請(qǐng)求的安全策略是否被啟用,防火墻通常根據(jù)請(qǐng)求的URL與安全策略來(lái)進(jìn)行匹配。一旦與某種策略條件完全匹配,防火墻就采用對(duì)應(yīng)的安全策略。指向同一個(gè)資源的URL或許有多種不同形態(tài),如果該URL的編碼方式不同的話,二進(jìn)制方式的比較就不起作用了。攻擊者會(huì)利用各種技術(shù),對(duì)輸入的URL進(jìn)行偽裝,企圖避開字符串匹配,以達(dá)到越過(guò)安全設(shè)備的目的。這些攻擊行為,在欺騙IDS和IPS方面,特別有效,因?yàn)楣舸a只要與安全設(shè)備的特征庫(kù)有一點(diǎn)點(diǎn)不同的話,就能夠達(dá)到目的。如圖2所示。解決字符串匹配問(wèn)題需要利用正?;夹g(shù),深度檢測(cè)能夠識(shí)別和阻止大量的攻擊。對(duì)于防范

8、隱藏在幀數(shù)據(jù)、Unicode、URL編碼,雙重URL編碼和多形態(tài)的Shell等類型的攻擊行為,必須要用到正?;夹g(shù),如圖3所示。2.3 協(xié)議一致性應(yīng)用層協(xié)議,如HTTP、SMTP、POP3、DNS、IMAP和FTP,在應(yīng)用程序中經(jīng)常用到。每個(gè)協(xié)議,都由RFC(Request For Comments)相關(guān)規(guī)范創(chuàng)建。深度檢測(cè)防火墻,必須確認(rèn)應(yīng)用層數(shù)據(jù)流是否與這些協(xié)議定義相一致,以防止隱藏其中的攻擊。深度檢測(cè)在應(yīng)用層進(jìn)行狀態(tài)檢測(cè)。協(xié)議一致性,通過(guò)對(duì)協(xié)議報(bào)文的不同字段進(jìn)行解密而實(shí)現(xiàn),當(dāng)協(xié)議中的字段被識(shí)別出來(lái)后,防火墻采用RFC定義的應(yīng)用規(guī)則,來(lái)檢查其合法性。如圖4所示。2.4 雙向負(fù)載檢測(cè)深度檢測(cè)具

9、有強(qiáng)大功能,能夠允許數(shù)據(jù)包通過(guò),拒絕數(shù)據(jù)包,檢查或修改第4到7層數(shù)據(jù)包,包括包頭或負(fù)載。HTTP深度檢測(cè)能夠查看到消息體中的URL,包頭和參數(shù)等信息。深度檢測(cè)防火墻能夠自動(dòng)進(jìn)行動(dòng)態(tài)配置,以便正確檢測(cè)服務(wù)變量,如最大長(zhǎng)度,隱藏字段和Radio按鈕等等。如果請(qǐng)求的變量不匹配,不存在或者不正確的話,深度檢測(cè)防火墻會(huì)將請(qǐng)求丟棄掉,將該事件寫入日志,并給管理員發(fā)出警告信息。深度檢測(cè)技術(shù)允許修改或轉(zhuǎn)換URL,包頭和參數(shù),這一點(diǎn)與應(yīng)用層上的NAT類似。如圖5所示。3、總結(jié)在復(fù)雜的Web環(huán)境中,為了提供全面的應(yīng)用程序防護(hù),深度檢測(cè)是必需的。為了能夠有效的阻止Web攻擊,防火墻必須能夠應(yīng)用基于源IP地址、目的IP地址

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論