防火墻深度檢測技術在企業(yè)中的應用

申請免費試用、咨詢電話：400-8352-114

防火墻在抵制企業(yè)網絡外部攻擊、保障企業(yè)內部網絡安全性與穩(wěn)定運行起著不可磨滅的作用。但是，由于隱藏在應用層中的攻擊方式越來越多，這就給企業(yè)防火墻提出了一個新的挑戰(zhàn)，要能夠檢測出隱藏在應用層數據流中的攻擊。如在郵件中包含病毒附件與非法代碼，就是針對應用層的攻擊。

為了應對這種攻擊，防火墻提出了一個種深度檢測的技術。簡單的說，就是通過各種手段實現對應用層攻擊的過濾。那么，防火墻的深度檢測技術到底是如何起作用的;我們在選購帶有深度檢測技術的防火墻又該注意一點什么呢?筆者在此總結了幾點，希望能夠對大家有所幫助。

一、能否實現應用層加密、解密?

對應用層數據進行加密，已經被廣泛的應用于各種場合，以提高數據的安全性。如在郵箱系統中，就采用了SSL的加密機制。用戶可以選擇是否要對郵件的內容進行加密。若用戶選擇SSL加密的話，則在郵件發(fā)送的時候，郵箱系統會自動對整封郵件在應用層面上進行加密。

為此，這就對深度檢測防火墻提出了新的挑戰(zhàn)，防火墻必須要有對應用層數據進行加密、解密的能力。因為像一些病毒郵件，其往往隱藏在郵件的附件中，也就是隱藏在應用層的數據中。而因為對應用層的數據采取了加密處理，所以，一般防火墻不能夠辨別應用層數據中是否存在著病毒文件。只有防火墻能夠對應用層數據進行解密、加密的能力，才能夠判斷數據包中是否含有應用層的攻擊信息。所以，如果防火墻的深度檢測功能不能夠對企業(yè)中的關鍵應用，如郵件系統，提供深度檢測安全性的話(即對應用層數據進行解密后的檢測)，則整個深度檢測就會失去其存在的意義。換句話說，深度檢測只能夠檢測未經過加密處理的應用層數據，其效果就會大大的打折扣。

在企業(yè)的關鍵應用中，一般郵件系統中會實現應用層的數據加密。除了這個應用外，企業(yè)可能在VPN、FTP服務器、OA服務器中也實現了類似SSL的加密機制。根據筆者的了解，只要能夠在互聯網上進行訪問的信息化應用，一般都會在應用層上對數據加密，以提高數據的安全性。通過對應用層數據加密，可以有效的防止攻擊者通過網絡偵聽的手段竊取公司的機密數據。

所以，無論是在防火墻配置，還是在選購的過程中，企業(yè)一定要關注防火墻是否具備對應用層數據的加密、解密能力。然后根據企業(yè)自身的關鍵應用，來判斷防火墻是否需要這方面的功能。若企業(yè)現在或者將來的網絡應用中，要利用SSL等技術對應用層數據進行加密的話，則最好讓防火墻的深度檢測技術實現應用層的加密解密功能。否則其效果就會打對折。

二、能否有效解決應用層字符串匹配問題?

在針對應用層的攻擊中，很多是通過字符串的匹配不當來實現的。如典型的欺騙IDS攻擊，就是通過這個字符串不匹配而完成的。

防火墻有時候為了了解某種請求的安全策略是否被啟用，防火墻通常會根據請求的信息與自身的安全策略來進行匹配。一旦條件匹配，防火墻就采用對應的安全策略。非法攻擊者會利用各種手段，對用戶的請求信息進行偽裝，企圖讓字符串不匹配，以達到越過安全設備的目的。

可能上面這段話有點繞口。其實，我們可以簡單一點來理解。當客戶端想通過防火墻的時候，客戶端的數據會向防火墻發(fā)送一個請求。在這個請求信息中，會包含是否需要采用某種安全策略的信息，而這些信息都是通過一些特定的字符串來表示。當防火墻收到請求信息時，就會把這些字符串跟自身的進行對比。若符合，則采取某種安全策略，如加密等;若不符合，則不會采用安全策略，而以普通的方式轉發(fā)。

如此，攻擊者只要對請求者的請求信息進行隨意的更改，就可能導致請求信息字符串與防火墻中的字符串不匹配，從而繞過安全設備，進行一些非法的勾當。為了解決這個字符串匹配問題，深度檢測技術設計了一種“正常化技術”。通過這種技術，能夠讓深度檢測識別隱藏在URL編碼、Unicode數據中的應用層攻擊行為，以提高應用層數據的安全性。

所以，深度檢測技術不僅要求防火墻能夠對應用層的數據進行加密、解密;而且還要求其對應用層數據的字符串匹配問題提出有效的解決方案。只有如此，才能夠切實的實現深度檢測的目的。

三、能否判斷協議的一致性?

眾所周知，數據要在網絡上傳輸，都必須遵守一定的規(guī)范。就好像汽車在馬路上行駛必須遵守交通法規(guī)，否則會亂套。在網絡上，數據的交通法規(guī)就是各種應用層協議。如HTTP、SMTP、FTP協議等等。這些協議都有全球統一的規(guī)范。如果員工發(fā)送一封郵件，則應用層的數據必須符合SMTP協議的規(guī)范。

但是，很多攻擊者就利用這些規(guī)范來對企業(yè)網絡進行攻擊。如在郵件中，會插入FTP協議的內容。當用戶查看郵件內容的時候，在不知情的情況下，系統自動從FTP服務器上下載木馬、病毒等非法軟件，實現應用層的攻擊。

所以，深度檢測技術既然能夠檢測應用層的數據，則我們就希望他好事做到底，能夠進一步判斷協議的一致性。也就是說，其應用層中的數據所采用的協議跟其所聲明的協議類型是否一致。如果不一致的話，則防火墻就需要過濾這個數據包，并向管理員提出警告。如果一致的話，就順利轉發(fā)。筆者認為，深度檢測防火墻必須確認應用層數據流是否與這些協議定義一樣，以防止隱藏在其中的攻擊。這主要是通過對協議報文的不同字段進行解密而實現。當協議中的字段被識別出來后，防火墻采用這個協議定義的應用規(guī)則，來檢查其合法性。

現在的防火墻基本上能夠辨別某種數據類型所采用的協議;他們可以通過各種協議來采取控制措施。如只允許外部網絡的特定主機訪問企業(yè)內部的FTP服務器。這主要就是過濾FTP協議的數據流量來實現。但是，這并不表明其可以判斷應用層的數據流是否與這些協議相一致。這里還有一個判斷比較的過程。

一般來說，企業(yè)若在內部部署了FTP服務器、郵箱服務器等關鍵應用的時候，最好能夠讓深度檢測的防火墻正確判斷協議的一致性。因為這些應用，最容易遭受類似的攻擊。

總之，深度檢測的目的是希望能夠對第四層到第七層的數據流進行檢測與控制，來提高防火墻的應用價值。由于深度檢測涉及到了比較上層的數據，所以，其技術是隨著應用層技術的發(fā)展而不斷發(fā)展的。這也就意味著防火墻的深度檢測技術是否成熟沒有統一的標準。

筆者的建議是，企業(yè)若在內部部署了一些關鍵應用，而這些應用又對互聯網是開放的話，則防火墻的深度檢測時必需的。企業(yè)的安全管理人員，應該要確保自己所部署的防火墻能夠滿足這些關鍵應用的需求，特別是應用層加密解密數據的需求。否則的話，就可能大大降低防火墻的效用。（IT專家網）