快捷導(dǎo)航

網(wǎng)絡(luò)防火墻功夫深入到第七層

更新時間：2006年11月03日 00:00:00 作者：

編者按在短短的幾年里，防火墻的功能重心從網(wǎng)絡(luò)層發(fā)展到了應(yīng)用層。本文闡述了這種變遷的技術(shù)背景，以及未來的防火墻技術(shù)走向。　　

　　應(yīng)用層攻擊挑戰(zhàn)傳統(tǒng)防火墻 　　

　　最近兩年來，攻擊者的興趣明顯從端口掃描和制造拒絕服務(wù)攻擊（DoS Attack）轉(zhuǎn)向了針對Web、E-mail甚至數(shù)據(jù)庫等主流應(yīng)用的攻擊。傳統(tǒng)的防火墻僅僅檢查IP數(shù)據(jù)包的包頭，而忽略了內(nèi)容——如果用信件來做比喻，也就是只檢查了信封而沒有檢查信紙。因此對這類應(yīng)用層的攻擊無能為力?？梢哉f，僅僅靠第三層和第四層的IP地址和協(xié)議端口過濾的防火墻產(chǎn)品早已走到了盡頭。　　

　　戰(zhàn)火燒向七層 　　

　　為了對抗應(yīng)用層（OSI網(wǎng)絡(luò)模型的第七層）的攻擊，防火墻必須具備應(yīng)用層的過濾能力，一些防火墻產(chǎn)品已經(jīng)具備了這種能力。　　

　　如果把計算機網(wǎng)絡(luò)比做一座建筑，傳統(tǒng)的包過濾防火墻就是在企業(yè)內(nèi)部網(wǎng)絡(luò)和Internet之間的一系列并列的門。每道門都有安檢人員對到達(dá)的包裹（IP數(shù)據(jù)包）進行逐一檢查，若沒有發(fā)現(xiàn)數(shù)據(jù)包含有異常代碼便開門放行。攻擊者常用的伎倆就是通過端口掃描來檢查哪些門是敞開不設(shè)防的，然后加以利用。晚些時候出現(xiàn)的具有狀態(tài)檢測功能的防火墻可以檢查哪些數(shù)據(jù)包是來自Internet對內(nèi)部網(wǎng)絡(luò)訪問請求的應(yīng)答。也就是說，安檢人員能夠鑒別那些不請自來的包裹。　　

　　但應(yīng)用層攻擊就要復(fù)雜得多，因為攻擊數(shù)據(jù)包在絕大多數(shù)情況下是合法的數(shù)據(jù)包，不同的只是內(nèi)容具有攻擊性，而且因為IP數(shù)據(jù)包是分段傳輸?shù)?，其?nèi)容的判別需要將所有相關(guān)的包重組后才能準(zhǔn)確進行。一旦這種攻擊數(shù)據(jù)包通過了防火墻，它們通常會開始有條不紊地利用目標(biāo)系統(tǒng)的漏洞制造緩沖區(qū)溢出，獲得系統(tǒng)的控制權(quán)，然后以此為平臺開始尋找周圍其他系統(tǒng)的漏洞或者其他的蠕蟲留下的后門，進而展開攻擊。　　

　　防火墻的對策 　　

　　對此，一些防火墻產(chǎn)品采取的應(yīng)對措施是，針對每一類主流的應(yīng)用， HTTP、SMTP、FTP和SQL Server數(shù)據(jù)庫訪問（基于RPC）都設(shè)置專門的過濾器，如果未來出現(xiàn)新的應(yīng)用層威脅，還可以增加相應(yīng)的過濾器。用戶可以針對每一種過濾器進行應(yīng)用相關(guān)的過濾設(shè)置，例如，可以通過限制任何HTTP訪問請求的緩沖區(qū)不得超過3000個字節(jié)來防止一些蠕蟲的攻擊。在這種新的機制下，來自Internet的數(shù)據(jù)包被發(fā)送到各自的過濾器，過濾器會將數(shù)據(jù)包重組后進行內(nèi)容掃描和判別。拿一封郵件來說，SMTP過濾器會等待相關(guān)的包到齊后，在轉(zhuǎn)發(fā)之前重組郵件對其內(nèi)容進行掃描，與已知類型的攻擊進行比對，在確認(rèn)這是正常流量后才允許通過。　　

　　經(jīng)過正確配置的現(xiàn)代防火墻可以阻擋絕大多數(shù)已知的病毒郵件和攻擊代碼。雖然阻擋未知的病毒和攻擊要困難得多，但是經(jīng)過合理的策略設(shè)置通常是有效的。正確設(shè)置策略的基礎(chǔ)是企業(yè)用戶對于自身業(yè)務(wù)需求的正確理解，例如，多數(shù)企業(yè)的用戶通常是沒有必要通過郵件來傳遞可執(zhí)行文件和Visual Basic腳本代碼的。用戶可以通過阻斷含有這類可執(zhí)行附件的郵件來對付一些未知的病毒。一旦真的需要發(fā)送這類文件，也可以設(shè)置更有針對性的策略，比如只允許IT部門的用戶發(fā)送含有可執(zhí)行文件附件郵件，或者允許用戶接收除含有名為“Kournikova.jpg.vbs”的腳本附件之外的所有郵件。　　

　　安全與性能的矛盾 　

　　用戶早已習(xí)慣于把安全性和性能看成是對立的，就像在機場的安檢入口，檢查的步驟越多，等待安檢的隊伍也就越長。對于防火墻來說，性能和安全的確是一對永遠(yuǎn)的矛盾，但是應(yīng)用層過濾的功能對防火墻性能的影響并沒有多數(shù)用戶想象得那么大，一些防火墻標(biāo)稱每秒鐘可處理超過1000個并發(fā)用戶，同時保持每會話（session）27Mbps的吞吐量。事實上，有些廠商通過硬件（ASIC）實現(xiàn)應(yīng)用層的過濾引擎，能夠達(dá)到更加接近線速(可理解為以太網(wǎng)交換機的處理極限)的處理能力。　　

　　新的挑戰(zhàn) 　　

　　具有應(yīng)用層過濾功能的防火墻可以更有效地阻擋當(dāng)前多數(shù)病毒和攻擊程序，但新的安全威脅的不斷出現(xiàn)又對防火墻提出了新的挑戰(zhàn)。攻擊的來源正在變得更加復(fù)雜，而攻擊的手段也愈加高明，最近垃圾郵件與攻擊代碼的結(jié)合就是一個典型的例證。這一方面需要防火墻設(shè)備對于應(yīng)用層的內(nèi)容有更好的認(rèn)知和智能判別的能力，另一方面也需要防火墻更多地與其他的安全設(shè)備和應(yīng)用有效配合，從而實現(xiàn)更加有力的防護。