主流防火墻比較

1、這是Netscreen VS. checkpoint 雜談的第一部分1. 開(kāi)始前的聲明 首先，本人在資源方面即沒(méi)有netscreen，也沒(méi)有checkpoint，更沒(méi)有smartbits之類的測(cè)試設(shè)備，以下的內(nèi)容均是本人翻遍netscreen和checkpoint網(wǎng)站，同時(shí)結(jié)合網(wǎng)絡(luò)上搜集的資料中分析得出的結(jié)果，因此不可避免會(huì)有不當(dāng)之處，這些地方歡迎各位資深人士指出，以便本人進(jìn)一步修正和完善本文檔。 其次，本文不是講如何安裝配置這些產(chǎn)品的，這些東西是“熟練工人“做的事情。 最后，本文對(duì)產(chǎn)品的各種評(píng)價(jià)均為個(gè)人看法，任何意見(jiàn)，非常歡迎討論。2. 為什么會(huì)有這么一篇文章： 相對(duì)于其他安全產(chǎn)品，防火墻在

2、網(wǎng)絡(luò)的應(yīng)用中要普遍的多，同時(shí)在安全市場(chǎng)上也是相對(duì)要成熟的技術(shù)。但是留心的人很容易注意到，目前防火墻的宣傳很亂，各家廠商都在鼓吹自己的產(chǎn)品，詆毀對(duì)手的產(chǎn)品，他們每家都可以列出來(lái)一串串的單子，宣稱在某某功能超出對(duì)手。這種例子比比皆是；與此同時(shí)，很多媒體和評(píng)測(cè)機(jī)構(gòu)（國(guó)外國(guó)內(nèi)均是如此）也拋出了一些不負(fù)責(zé)任的所謂公平的評(píng)測(cè)報(bào)告。更給大家?guī)?lái)困惑。本文力圖按照個(gè)人理解的一些東西來(lái)描述這兩種系統(tǒng)。3. 架構(gòu) 首先我們來(lái)看防火墻的架構(gòu)，這包括兩個(gè)方面，軟件和硬件兩部分。也就是防火墻運(yùn)行在什么軟件系統(tǒng)上以及防火墻安裝的硬件平臺(tái)。 架構(gòu)是防火墻的骨骼，他決定了防火墻整體的工作水平和潛能。一般而言，我們可以把常見(jiàn)的

3、防火墻分為基與硬件和基于軟件的兩類。 基于硬件的防火墻硬件方面一般是采用專門設(shè)計(jì)的實(shí)現(xiàn)防火墻必要功能的ASIC，NP架構(gòu)等量身定制的硬件，供防火墻跑的操作系統(tǒng)也是專門設(shè)計(jì)的。而基于軟件的防火墻硬件方面一般采用通用架構(gòu)的pc硬件，操作系統(tǒng)也因此采用的多是基于unix系列或者nt系列的通用操作系統(tǒng)。 這里面checkpoint可以歸類為基于軟件的防火墻，而netscreen則是基于硬件的。兩種架構(gòu)的描述：性能： netscreen沒(méi)有采用傳統(tǒng)的工業(yè)架構(gòu)布局，而是使用的是獨(dú)立研發(fā)體系結(jié)構(gòu)，包括netscreen專用的screenos操作系統(tǒng)和為實(shí)現(xiàn)防火墻功能而特別設(shè)計(jì)的ASIC芯片（這包括從低端的n

4、etscreen5,10的采用的megascreen芯片到高端的netscreen 500,5000等使用的Gigascreen芯片），它們與RISC處理器等設(shè)備緊密集成，為客戶提供專用的防火墻的各項(xiàng)功能。 由于netscreen防火墻設(shè)計(jì)上就是為了完成必要的防火墻工作，同時(shí)對(duì)數(shù)據(jù)包的訪問(wèn)控制，加密，地址轉(zhuǎn)換等工作是通過(guò)上述專門的硬件來(lái)實(shí)現(xiàn)的，這就從結(jié)構(gòu)上非常好的避免了傳統(tǒng)的基于工業(yè)架構(gòu)的軟件防火墻不是專門為了防火墻設(shè)計(jì)，極大的依賴cpu，同時(shí)總線帶寬受限制等重大的弊病，從這一點(diǎn)來(lái)看，理論上對(duì)防火墻的要求越高，netscreen體現(xiàn)的價(jià)值就越大。 在netscreen的站點(diǎn)上，關(guān)于防火墻的白頁(yè)

5、宣稱它的高端netscreen 5400，在操作系統(tǒng)screenos版本為3.0防火墻時(shí)防火墻的通透性可以達(dá)到12Gbps之高（vpn可達(dá)6Gbps）-這是本人所了解的性能最高的防火墻。 checkpoint防火墻本身是一套軟件，而基于軟件的checkpoint防火墻本質(zhì)上從操作系統(tǒng)到硬件架構(gòu)都是使用的通用的系統(tǒng)，因此盡管軟件本身可能已經(jīng)盡可能的得到了優(yōu)化，但受架構(gòu)的局限，性能在理論上先天不足。 Checkpoint為了解決這個(gè)問(wèn)題，相繼推出了軟硬件的加速方案，這些方案主要功能是一致的：一方面包括將數(shù)據(jù)包的訪問(wèn)控制，加解密，地址翻譯等非常消耗系統(tǒng)資源的工作從cpu轉(zhuǎn)移到專門的插卡來(lái)處理，減小c

6、pu負(fù)荷，另外一方面通過(guò)優(yōu)化軟件對(duì)數(shù)據(jù)的處理層次，將本來(lái)在高層的處理工作向下放，向硬件層次靠攏。通過(guò)上述兩個(gè)方面，從而實(shí)現(xiàn)減少承載它的系統(tǒng)的壓力，改進(jìn)提升系統(tǒng)性能的目的。我們可以看到的SecureXL，checkpoint Performance Pack，VPN-1 Accelerator Card以及和Corrent公司，Nortel等公司合作推出的各種加速卡，都是這一思想的產(chǎn)物。 從checkpoint的站點(diǎn)上得到的資源來(lái)看，這些解決方案的效果還是比較理想的。在checkpoint的高端產(chǎn)品上（如和Bivio合作推出的1000s平臺(tái)上的防火墻性能可達(dá)4.0 Gbps，在64byte小包上

7、也可達(dá)到3.2 Gbps的通透性）。 此外根據(jù)checkpoint公布的資料來(lái)看，在這個(gè)月checkpoint自己的測(cè)試中，使用了5月13宣稱的新技術(shù)Application Integlligence后，性能在原來(lái)的基礎(chǔ)上進(jìn)一步提升了31%。穩(wěn)定性兼容性： 由于netscreen采用的專門的軟硬件，因此系統(tǒng)的穩(wěn)定性上理論上應(yīng)該領(lǐng)先，同時(shí)由于防火墻操作系統(tǒng)是專用的screenos，不存在防火墻和硬件的兼容性問(wèn)題。 而checkpoint使用的優(yōu)化和定制后的操作系統(tǒng)和硬件，但是由于防火墻需要運(yùn)行在通用的操作系統(tǒng)和硬件之上，而這些操作系統(tǒng)和硬件不是特定為防火墻各項(xiàng)功能設(shè)計(jì)的，因此可能會(huì)存在穩(wěn)定性和兼

8、容方面的隱患。功能和靈活性： netscreen采用的專門設(shè)計(jì)的操作系統(tǒng)和硬件架構(gòu)，決定了靈活性上要相對(duì)差一些，而且可能提供的功能相對(duì)較少。 比如早期為很多人詬病的高版本的screenos操作系統(tǒng)無(wú)法使用在早期的硬件平臺(tái)上，從保護(hù)投資的角度上是很難為客戶所接受的。 又如netscreen的策略數(shù)目是有限的，如果用完了訪問(wèn)控制策略，如果要新增新的策略，那么必須去掉已經(jīng)配置好的某些策略。 此外對(duì)硬件的依賴決定了很難擴(kuò)充新的功能模塊，防火墻從購(gòu)買之日起能提供的功能就基本上不會(huì)有太多的改變了，客戶買了某種型號(hào)的防火墻后可能無(wú)法期待后期的重大升級(jí)。 而Checkpoint由于架構(gòu)不依賴硬件，因此理論上功

9、能是可以無(wú)限擴(kuò)充的，它能給客戶更多的控制和定制功能。防火墻所在系統(tǒng)安全更新 netscreen這種基于硬件的防火墻由于采用專用的screenos操作系統(tǒng)，安全問(wèn)題暴露很少，需要打安全patch的必要性小。 checkpoint跑在windows和unix上，由于這些操作系統(tǒng)本身的安全問(wèn)題，管理員需要不斷的更新操作系統(tǒng)本身的patch(尤其是windows平臺(tái)上的，yiming簡(jiǎn)直受不了window隔三差五的patch了)，這對(duì)防火墻的管理者而言是個(gè)比較痛苦的活兒。維護(hù)成本 netscreen這種基于硬件的防火墻運(yùn)行起來(lái)很容易，基本上加電開(kāi)機(jī)就可以跑起來(lái)了，而且防火墻維護(hù)者不需要了解防火墻以外的

10、任何技術(shù)。 Checkpoint正常運(yùn)行需要先安裝操作系統(tǒng)，安裝各種驅(qū)動(dòng)（比如網(wǎng)卡），配置操作系統(tǒng)等，這是個(gè)比較討厭的活兒。 不過(guò)checkpoint為了解決這個(gè)問(wèn)題，也推出了軟硬件集成在一起的產(chǎn)品，國(guó)內(nèi)常見(jiàn)的就是和NOKIA合作推出的產(chǎn)品，比如NOKIA IP740，就是綁定在一起的基于freebsd的checkpoint套件，直接開(kāi)電防火墻就能跑起來(lái)。 此外值得注意的是，如果checkpoint防火墻運(yùn)行在unix平臺(tái)上，需要防火墻的維護(hù)者對(duì)unix系統(tǒng)熟悉，不要小看這一點(diǎn)，在很多的公司，這對(duì)管理員是個(gè)很大的挑戰(zhàn)。4. 數(shù)據(jù)包的處理方式 除了防火墻的體系架構(gòu)，最重要的部分就是防火墻對(duì)數(shù)據(jù)包

11、的處理方式了，雖然checkpoint和netscreen都說(shuō)自己都是基于stateful inspection的防火墻，但兩者還是有區(qū)別的。個(gè)人認(rèn)為，準(zhǔn)確的講：checkpoint更多的是SPI（stateful packet inspection），而netscreen則更多的是SPF(stateful packet filter) netscreen使用的是核心是SPF，所謂SPF，一言以蔽之，即：在傳統(tǒng)的包過(guò)濾的基礎(chǔ)上增加了對(duì)數(shù)據(jù)包的狀態(tài)判斷。一個(gè)數(shù)據(jù)包如果不是意圖建立連接的數(shù)據(jù)包同時(shí)又不屬于任何已經(jīng)建立的連接的話，這個(gè)數(shù)據(jù)包直接就被丟棄或者拒絕-根本無(wú)需去和訪問(wèn)控制列作比較。這樣就大

12、大增加了安全性，同時(shí)提高了性能。目前基本上主流的防火墻都采用了這一非常成熟的技術(shù)，與此同時(shí)，為了更加有效的發(fā)揮防火墻的作用，netscreen公司和其他大多數(shù)公司一樣，在對(duì)數(shù)據(jù)包的處理方式上，除了SPF，還增加了Application Proxy方式，利用這一方式，netscreen對(duì)高層的一些應(yīng)用可以進(jìn)一步加以控制，比如利用syn gateway抵抗Denial of service攻擊即為一例。（注：關(guān)于SPF，SPI， Application Proxy等具體概念，不是這里討論的內(nèi)容，大家可參考相關(guān)資料） 我們來(lái)看看netscreen是如何利用ASIC芯片和SPF處理tcp數(shù)據(jù)包的：當(dāng)數(shù)

13、據(jù)包到達(dá)netscreen的網(wǎng)絡(luò)端口時(shí)，要先進(jìn)行基本的有效性檢查，驗(yàn)證數(shù)據(jù)包合法后，screenos檢查這個(gè)數(shù)據(jù)包是否是已存在的某個(gè)連接的session的一部分（比如屬于一個(gè)已經(jīng)建立成功的telnet）。 如果該數(shù)據(jù)包聲明屬于已存在的某個(gè)連接的session的一部分，那么進(jìn)一步檢查tcp的sequeuce號(hào)等參數(shù)來(lái)確認(rèn)是有效的數(shù)據(jù)包，是就通過(guò)，否丟棄。 如果該數(shù)據(jù)包不屬于任何已經(jīng)建立的session，那么搜索管理員事先設(shè)置的訪問(wèn)控制列內(nèi)容，如果訪問(wèn)控制列內(nèi)沒(méi)有符合該數(shù)據(jù)包的內(nèi)容，數(shù)據(jù)包被丟棄，如果存在符合該數(shù)據(jù)包特性的訪問(wèn)控制規(guī)則，那么一條新的session建立。請(qǐng)注意這些工作是在它的ASIC

14、芯片上進(jìn)行的。 為什么要強(qiáng)調(diào)這一點(diǎn)呢？我們來(lái)考慮如下問(wèn)題：決定防火墻性能的主要取決于什么？ 為了回答這個(gè)問(wèn)題，我們先溫習(xí)一下防火墻的基本概念：防火墻是在兩個(gè)網(wǎng)絡(luò)間實(shí)現(xiàn)訪問(wèn)控制的一個(gè)或一組軟件或硬件系統(tǒng)。防火墻的最主要功能就是屏蔽和允許指定的數(shù)據(jù)通訊，而該功能的實(shí)現(xiàn)又主要是依靠一套訪問(wèn)控制策略，由訪問(wèn)控制策略來(lái)決定通訊的合法性。從上面的防火墻的概念我們可以看出，防火墻的主要工作就是進(jìn)行訪問(wèn)控制，那么同樣條件下，訪問(wèn)控制的處理速度越快，那么防火墻的性能自然就愈好。 同時(shí)，另外一方面，一般來(lái)說(shuō)，某個(gè)數(shù)據(jù)包被拒絕，往往是與訪問(wèn)控制列的acl逐條比較，如果前面的acl不符合，那么在訪問(wèn)控制列的最后部分才

15、會(huì)被拒絕。如果系統(tǒng)性能較差，這會(huì)是個(gè)非常耗費(fèi)資源和性能的工作。 Netscreen在實(shí)現(xiàn)SPF時(shí)，通過(guò)在ASIC硬件而非cpu上進(jìn)行訪問(wèn)控制的策略的比較，顯著的提升了速度。在netscreen的白頁(yè)上，介紹它的防火墻可以以線速處理4萬(wàn)條以上的訪問(wèn)控制規(guī)則，這個(gè)結(jié)果是令人非常滿意的。這也是netscreen在實(shí)現(xiàn)SPF中最為閃光的一部分。 Checkpoint的工作方式主要基于SPI，SPI是工作在SPF之上的，它在提供SPF的功能基礎(chǔ)上，增加了對(duì)數(shù)據(jù)包內(nèi)容（高層）的分析功能。這對(duì)管理員對(duì)網(wǎng)絡(luò)的安全控制能力無(wú)疑增進(jìn)了一大步，同時(shí)，也是非常實(shí)用的一個(gè)功能，對(duì)一個(gè)有經(jīng)驗(yàn)的管理員來(lái)說(shuō)，利用SPI可以大

16、大地減小網(wǎng)絡(luò)的安全管理工作。 一個(gè)很簡(jiǎn)單的例子：一家企業(yè)分布在各地機(jī)構(gòu)的局域網(wǎng)需要對(duì)外開(kāi)放snmp管理功能，常見(jiàn)的防火墻一般也就是放開(kāi)tcp/udp 161和162端口，無(wú)法再做更多的控制了，但是利用SPI，管理員就可以控制僅僅對(duì)外開(kāi)放snmp的get功能，不允許set動(dòng)作，這就極大的減少了snmp端口開(kāi)放的危害性。又比如，利用SPI，管理員可以強(qiáng)制通過(guò)80端口的數(shù)據(jù)包必須是真實(shí)的http數(shù)據(jù)，而不是流或者即時(shí)通訊工具。 我們知道代理型防火墻同樣能夠提供高層訪問(wèn)控制，但是代理型防火墻工作在高層，他們?cè)谔幚韈lient和server的連接時(shí)，作為“二傳手“來(lái)分析解釋和控制數(shù)據(jù)包，每個(gè)client

17、到server的連接被截獲，演變成client到代理，代理到server，server到代理，再?gòu)拇淼絚lient的通訊形式。這就增大了延遲，同時(shí)對(duì)每種類型的通訊都需要高層的分析解釋能力的單獨(dú)的軟件來(lái)做，局限較大。 而checkpoint的數(shù)據(jù)包處理引擎INSPECT工作在網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間，他們并不打斷client和server端的連接。由于工作在最低端，進(jìn)出端口的所有的數(shù)據(jù)包都會(huì)被核查，只有符合INSPECT引擎審核通過(guò)的數(shù)據(jù)包才能向高層發(fā)送。 INSPCET引擎使用可定制的INSCPET語(yǔ)言來(lái)理解和分析需要關(guān)心的數(shù)據(jù)包內(nèi)容，并實(shí)現(xiàn)對(duì)數(shù)據(jù)包的動(dòng)態(tài)控制。由于INSCPET語(yǔ)言的對(duì)象是整

18、個(gè)原始的數(shù)據(jù)包，因此就在SPF的基礎(chǔ)上增加了高層的控制，如：不僅向SFP那樣可以對(duì)底層的ip地址限制，還可以控制到高層內(nèi)容，如限制郵件的content-type。同時(shí)，管理員可以從checkpoint站點(diǎn)上不斷取得新的INSCPET代碼，從而增加對(duì)應(yīng)用的擴(kuò)充。 2003年5月13日，checkpoint又宣稱推出近年來(lái)功能上重大的升級(jí)，即所謂的Application Integlligence，該升級(jí)主要的賣點(diǎn)就在于宣稱能夠檢測(cè)和防止應(yīng)用層的網(wǎng)絡(luò)攻擊。 我們知道，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊行為已經(jīng)逐步向高層轉(zhuǎn)移，利用操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備本身安全問(wèn)題入侵和攻擊的浪潮已經(jīng)逐步降低，人們?cè)絹?lái)越將

19、攻擊的目標(biāo)轉(zhuǎn)向高層的應(yīng)用，相信這以后會(huì)是網(wǎng)絡(luò)安全攻防的趨勢(shì)。關(guān)于這方面的內(nèi)容，各位可以參考OWASPWebApplicationSecurityTopTen這篇文檔（/ 需要使用代理) 本人對(duì)這一技術(shù)非常感興趣，仔細(xì)的研究了一下checkpoint公布的相關(guān)文檔，關(guān)于Application Integlligence的功能，主要有以下四點(diǎn)：1：確認(rèn)網(wǎng)絡(luò)通訊符合相關(guān)的協(xié)議標(biāo)準(zhǔn)，比如：不允許http頭出現(xiàn)二進(jìn)制數(shù)據(jù)內(nèi)容。2：確認(rèn)網(wǎng)絡(luò)通訊沒(méi)有濫用相關(guān)的協(xié)議標(biāo)準(zhǔn)，比如：不允許P2P通訊利用80口穿過(guò)防火墻。3：限制應(yīng)用程序攜帶惡意數(shù)據(jù)，比如：控制跨站腳本4：控制對(duì)

20、應(yīng)用程序的操作，比如上面我們舉的snmp例子。 仔細(xì)的分析上面的內(nèi)容，個(gè)人理解對(duì)checkpoint而言，其實(shí)Application Integlligence也不能算是非常新的技術(shù)，可能只是在SPI基礎(chǔ)上的升級(jí)和進(jìn)一步擴(kuò)充。 此外關(guān)于checkpoint需要注意一點(diǎn)的是，checkpoint數(shù)據(jù)包處理引擎INSPECT對(duì)高層的數(shù)據(jù)包核查并不象想象的那樣支持非常多的應(yīng)用，而是將主要精力放在了常用的http,ftp,mail等一些比較普遍的應(yīng)用上，也即，不是所有的高層的所有數(shù)據(jù)包都會(huì)被INSPECT審核，使用者不要迷信checkpoint宣稱的INSPECT技術(shù)，我們可以看下面的例子：這里是ch

21、eckpoint在sql slammer蠕蟲(chóng)蔓延時(shí)的一個(gè)擴(kuò)展的INSPECT CODE，deffunc sql_worm_slammer() (dport = 1434,packetlen = (20 +8 +1 +96 +4),UDPDATA:1 = 0x04,UDPDATA+97:4,b = 0xDCC9B042,LOG(long, LOG_NOALERT, 0) or 1,drop)or accept; 本人沒(méi)有找到關(guān)于checkpoint INSPECT CODE的說(shuō)明文檔，但是觀察上面的內(nèi)容，我們可以猜出來(lái)一些東西。至少?gòu)倪@個(gè)CODE內(nèi)容看，這是個(gè)基于簽名的代碼，我們可以看到比較關(guān)鍵

22、部門可能包括兩點(diǎn)：dport = 1434，端口1434，packetlen = (20 +8 +1 +96 +4)，數(shù)據(jù)包長(zhǎng)度？20是ip頭，8是udp長(zhǎng)度，1,96,4是什么？ 本人沒(méi)使勁猜（我猜得到開(kāi)始，猜不到結(jié)局 ；） 從上面的內(nèi)容來(lái)看，其實(shí)checkpoint防火墻本身在處理sql slammer蠕蟲(chóng)時(shí)，并不象想象的那樣真正的懂得sql的應(yīng)用的，它可能只是執(zhí)行了簡(jiǎn)單的匹配而已（本來(lái)想多看幾個(gè)INSPECT CODE的，可惜要口令，幸虧原來(lái)下了一個(gè)sql slammer的）。 前面的話：這是個(gè)0.8版本的，很遺憾，本來(lái)想花點(diǎn)力氣來(lái)寫(xiě)這一部分的，但是實(shí)在是抽不出專門的時(shí)間，so,先放個(gè)草

23、一點(diǎn)的上來(lái)吧。 首先各位應(yīng)該清楚的是，作為目前市場(chǎng)上主流的商用防火墻，無(wú)論是NETSCREEN還是Checkpoint，就基本的防火墻功能而言兩者沒(méi)有太大的差異也不可能有太大的差異（如果你聽(tīng)相關(guān)的廠家鼓吹自己產(chǎn)品的某種基本功能與競(jìng)爭(zhēng)對(duì)手有多么明顯的差異，那他必定在糊弄你）所以我們這篇文章不打算浪費(fèi)時(shí)間討論任何與防火墻的基本功能有關(guān)的內(nèi)容。1. Checkpoint在本文的第一部分我們提到過(guò)，目前利用操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備本身安全問(wèn)題入侵和攻擊的浪潮已經(jīng)逐步呈下降趨勢(shì)，人們?cè)絹?lái)越將攻擊的目標(biāo)轉(zhuǎn)向高層的應(yīng)用，關(guān)于這一點(diǎn)著名的市場(chǎng)調(diào)查研究機(jī)構(gòu)Gartner也有一個(gè)調(diào)查結(jié)論可以參考，如下：Today ov

24、er 70% of attacks against a companys network come at the Application Layer not the Network or System layer.-Gartner Group目前越來(lái)越多的商用防火墻廠家都在應(yīng)用層安全這一方面投入力量進(jìn)行研發(fā)，這也是防火墻適應(yīng)安全市場(chǎng)變化的一個(gè)體現(xiàn)，作為業(yè)界的翹楚，Checkpoint自然也不會(huì)落后，5月份該公司推出的所謂AI（Application Integlligence）就是強(qiáng)化防火墻對(duì)應(yīng)用層安全功能的一個(gè)很好的驗(yàn)證。在Checkpoint的文檔里，AI主要完成如下功能：確認(rèn)通信是否遵循

25、相關(guān)的協(xié)議標(biāo)準(zhǔn)；進(jìn)行異常協(xié)議檢測(cè)；限制應(yīng)用程序攜帶惡意數(shù)據(jù)的能力；對(duì)應(yīng)用層操作進(jìn)行控制。AI只是一個(gè)概念，在Checkpoint的防火墻產(chǎn)品上，是如何具體體現(xiàn)的呢？ 從Yiming能拿到的資料上來(lái)看，Checkpoint的AI由兩個(gè)內(nèi)容組成：Inspection Module和Security Server。 Inspection Module在part1中我們已經(jīng)作了說(shuō)明，它構(gòu)成Checkpoint firewall的內(nèi)核，在完成防火墻acl等基本功能以外，它還能對(duì)一些高層的應(yīng)用，主要是HTTP、SMTP、FTP的一些屬性進(jìn)行直接的限制和保護(hù)。 來(lái)看一個(gè)例子理解：Checkpoint的HTT

26、P Worm Catcher，相信大家都留意到，一段日子以來(lái)，利用80端口進(jìn)行網(wǎng)絡(luò)自動(dòng)傳播的蠕蟲(chóng)非常活躍，因?yàn)橐话愣?，現(xiàn)在互聯(lián)網(wǎng)上的企業(yè)即使安裝了防火墻，80端口通常也都是開(kāi)放的，如果防火墻沒(méi)有檢查數(shù)據(jù)高層內(nèi)容的能力（SPF類型），同時(shí)被保護(hù)的WEB系統(tǒng)又存在有相應(yīng)的安全漏洞，那么這些攻擊數(shù)據(jù)包會(huì)順利的進(jìn)入防火墻后被保護(hù)的主機(jī)，此時(shí)，雖然WEB系統(tǒng)是被防火墻保護(hù)的，但由于防火墻不具有高層應(yīng)用的核查能力，無(wú)法對(duì)80口經(jīng)由的數(shù)據(jù)包高層內(nèi)容進(jìn)行核查，從蠕蟲(chóng)的角度來(lái)看，這個(gè)防火墻等同于虛設(shè)。 Checkpoint防火墻的HTTP Worm Catcher就是針對(duì)這一問(wèn)題的一個(gè)解決方法。該技術(shù)的關(guān)鍵在

27、于不僅對(duì)數(shù)據(jù)包使用的端口，數(shù)據(jù)包的狀態(tài)進(jìn)行核查，在需要的時(shí)候，還要對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行模式匹配核查。管理員通過(guò)SmartDefense配置HTTP Worm Catcher，根據(jù)蠕蟲(chóng)的特征來(lái)添加蠕蟲(chóng)的特征碼（如添加規(guī)則匹配.IDA則防火墻將阻擋CodeRed攻擊），防火墻根據(jù)匹配從而攔截阻斷含有對(duì)應(yīng)特征碼的網(wǎng)絡(luò)數(shù)據(jù)包。目前最新版本（NG with AI R54）中就應(yīng)用層安全提供的一些功能：控制最大的URL長(zhǎng)度，限制P2P軟件的使用，記錄web訪問(wèn)的詳細(xì)日志等等。 由于Inspection Module的特性（工作在內(nèi)核，靠近底層），因此Inspection Module在實(shí)施對(duì)高層的數(shù)據(jù)包的控

28、制時(shí)性能比較理想。 Security Server：Security Server 是工作在Inspection Module之上的，它就像一個(gè)插件，輔助Inspection Module完成的對(duì)所關(guān)心的高層數(shù)據(jù)限制和保護(hù)的工作，由于Checkpoint不可能將所有的和高層有關(guān)的限制和保護(hù)功能都放入到它的內(nèi)核（Inspection Module）中，由此產(chǎn)生了Security Server這個(gè)模塊，它和防火墻內(nèi)核交互，完成一些更加復(fù)雜的訪問(wèn)控制和審核任務(wù)，在實(shí)際的工作中，Security Server像一個(gè)代理服務(wù)器模塊，底層的Inspection Module將數(shù)據(jù)包交給Security S

29、erver處理，Security Server完成相應(yīng)的工作后，再將處理完畢的數(shù)據(jù)反饋給Inspection Module。由于是在Inspection Module內(nèi)核之上的一個(gè)插件，Security Server對(duì)應(yīng)用層控制就能夠靈活許多，可以對(duì)數(shù)據(jù)實(shí)施更多的核查，但也正是因?yàn)檫@個(gè)代理的特性，性能上#$%了點(diǎn)。 Security Server是個(gè)奇怪的名字，本人猜測(cè)Checkpoint這么叫可能主要是想掩飾Checkpoint防火墻使用了部分代理模塊的特征這可是性能降低的代名詞 ;)從實(shí)際情況看來(lái)，應(yīng)用了Security Server也確實(shí)會(huì)帶來(lái)性能上的降低，今年3月Network Com

30、puting 的一次測(cè)試中，Checkpoint的防火墻使用了Security Server后，性能由766Mbps下降到122Mbps，這是非常明顯的一個(gè)降低。但是防火墻性能降低的換來(lái)的是功能上的增強(qiáng)，很多依靠Inspection Module無(wú)法完成的復(fù)雜工作，借助于Security Server后就變得可行了，Security Server大大增強(qiáng)了防火墻對(duì)高層的控制能力。比如，ftp應(yīng)用中，可以限制ftp連結(jié)中使用的命令，限制傳輸?shù)牡奈募窂?，和防病毒產(chǎn)品聯(lián)動(dòng)實(shí)現(xiàn)病毒掃描等等。要更多的功能還是更快的速度，這是需要防火墻的用戶去權(quán)衡的問(wèn)題了。 后臺(tái)的Inspection Module加S

31、ecurity Server構(gòu)成了前臺(tái)展現(xiàn)的Resource和SmartDefense。（用過(guò)Checkpoint的人應(yīng)該知道，這兩者都可以在SmartDashborad的界面上看到，其中Resource在SmartDashborad的Manager菜單里，而SmartDefense就在主界面內(nèi)）。SmartDefenseSmartDefense是集成在Checkpoint FIREWALL-1中的一個(gè)非常重要的模塊，通過(guò)這個(gè)模塊，Checkpoint防火墻逐步將對(duì)網(wǎng)絡(luò)攻擊的防范手段集中起來(lái)，一方面防火墻阻斷普通的非授權(quán)數(shù)據(jù)包，另一方面防火墻對(duì)照管理員配置的特定的控制規(guī)則來(lái)搜索授權(quán)通過(guò)的數(shù)據(jù)包

32、應(yīng)用，即使這些數(shù)據(jù)包從端口以及連結(jié)狀態(tài)上符合防火墻要求，如果數(shù)據(jù)包的內(nèi)容不符合某些相應(yīng)的規(guī)則特征，則數(shù)據(jù)包被認(rèn)為是具有攻擊特性的，被丟棄。 SmartDefense主要防范的內(nèi)容包括兩大類： 提供網(wǎng)絡(luò)層的網(wǎng)絡(luò)安全服務(wù)，主要用來(lái)防范網(wǎng)絡(luò)層的網(wǎng)絡(luò)安全事件。比如，對(duì)DoS服務(wù)的控制和阻斷、對(duì)ip fragment的控制、SYN攻擊的防范、防范IP SPOOF等（具體內(nèi)容參看SmartDefense，沒(méi)什么好講的）。提供Application Intelligence 這個(gè)我們?cè)诘谝徊糠痔岬竭^(guò)，主要用來(lái)防范應(yīng)用層的網(wǎng)絡(luò)安全事件。比如，對(duì)MAIL、HTTP、FTP 、VOIP等控制（具體內(nèi)容參看Smar

33、tDefense）。 可以看到，Checkpoint在不斷強(qiáng)化SmartDefense的功能，這也是Checkpoint一個(gè)比較有特色的東西，個(gè)人理解Checkpoint通過(guò)這個(gè)模塊開(kāi)始向傳統(tǒng)的IDP（入侵防御系統(tǒng)）滲透。 說(shuō)到這里我們要多說(shuō)幾句，目前入侵防御類產(chǎn)品（IDS，IDP，IPS等等）技術(shù)上還存在較多的問(wèn)題，其中一個(gè)比較關(guān)鍵點(diǎn)在于誤報(bào)漏報(bào)太嚴(yán)重。單純的看尤其是入侵防御系統(tǒng)，誤報(bào)問(wèn)題不解決，入侵防御類產(chǎn)品本身將成為網(wǎng)絡(luò)問(wèn)題的發(fā)生源，SmartDefense本身盡管不被Checkpoint稱為IDP，但個(gè)人理解實(shí)際上這就是Checkpoint的IDP，只不過(guò)要注意的是，這是選擇性的網(wǎng)絡(luò)入

34、侵防御（本人造的詞匯，可能用英文可以表達(dá)為Selective Prevent，縮寫(xiě)為SIDP？_ ）這其實(shí)是一種技術(shù)上的折衷，無(wú)法阻擋全部可能的攻擊？OK，那么阻擋有把握的那些攻擊吧。 目前Checkpoint的SmartDefense提供可防御攻擊數(shù)目是有限的，預(yù)測(cè)Checkpoint會(huì)不斷加大這方面的投入，增加這個(gè)單子上的AI項(xiàng)目。 此外還要廢話一句，列位看官千萬(wàn)不要被Checkpoint的 AI這個(gè)詞唬住了，這并不是一個(gè)非常新的東西，實(shí)際上這也就是其他廠家所說(shuō)的DEEP PACKET INSPECTION，不是Checkpoint的唯一，這方面的工作大家都在做。Netscreen 說(shuō)完了

35、Checkpoint該說(shuō)Netscreen了，Netscreen在應(yīng)用層控制方面做的中規(guī)中矩，基本上所有能夠控制的高層的控制都是以services形式預(yù)定義好的，防火墻的使用者所能做的就是組合這些應(yīng)用。與Checkpoint可以為防火墻用戶提供比較豐富的控制功能相比，平心而論，Netscreen缺乏太多的可以控制的高層內(nèi)容，沒(méi)有特別值得說(shuō)明的東西。2. 一些錯(cuò)誤說(shuō)法 在Netscreen和Checkpoint的宣傳文檔里面，經(jīng)?？梢钥匆?jiàn)彼此詆毀對(duì)手的內(nèi)容（相比之下，Checkpoint好像做得更狠一些，；），這些時(shí)候，就要看購(gòu)買者的經(jīng)驗(yàn)和知識(shí)了。本人看過(guò)一些雙方的宣傳文檔，經(jīng)常會(huì)看見(jiàn)一些錯(cuò)誤的

36、宣傳內(nèi)容，這主要包括兩個(gè)方面:a：炒冷飯這就是說(shuō)廠商拿過(guò)時(shí)的概念來(lái)做比較，比如Checkpoint公司自己出的一篇名為”Why all Stateful Firewalls are not Created Equal”文中指出“Netscreens implementation of Stateful Inspection is also incomplete. Netscreen firewall devices are unable to reassemble fragmented TCP packets on all applications before enforcing the e

37、curity policy.“這是Checkpoint公司2002年的一份文檔，指出Netscreen不能處理tcp fragment，當(dāng)時(shí)版本的Netscreen screenOS的情況確實(shí)是這樣的，但是不要忘記，Netscreen的4.0.1的版本中，這個(gè)問(wèn)題其實(shí)已經(jīng)解決了?，F(xiàn)在的Netscreen產(chǎn)品操作系統(tǒng)基本上都在4.0.1以上了。但可惜本人在Checkpoint在國(guó)內(nèi)一家很大的代理商非常新的一個(gè)宣傳資料里面還看到這條內(nèi)容被當(dāng)作寶貝堂而皇之的被陳列出來(lái)要么是寫(xiě)這個(gè)宣傳資料的人根本不懂，要么是明知道Netscreen已經(jīng)解決這個(gè)問(wèn)題了還在裝我猜測(cè)前者的可能性更大一些 ；）b：根本的欺騙這種花樣就很多了，比如如下內(nèi)容：“性價(jià)比：在一臺(tái)4000美元的機(jī)架式PC服務(wù)器上，Check Point可以提供4Gbps防火墻和2Gbps VPN性能的解決方案?！?動(dòng)動(dòng)腦子吧，大哥！又如“是否支持windows：Checkpoint是；Netscreen 否“ 天啊，有點(diǎn)厚顏無(wú)恥吧！3：評(píng)測(cè)，評(píng)測(cè)！ 對(duì)絕大多數(shù)用戶而言，畢竟作為使用者對(duì)防火墻產(chǎn)品不可能非常熟悉，這些時(shí)候，可能就會(huì)依賴一些權(quán)威的評(píng)測(cè)報(bào)告了，國(guó)內(nèi)外目前搞評(píng)測(cè)的很多，但平心而論，很多評(píng)測(cè)根本就是糊弄人，