狀態(tài)檢測技術(shù)以及競爭廠商對比

狀態(tài)檢測技術(shù)以及競爭廠商對比------為什么所有的狀態(tài)檢測防火墻并不完全相同？提綱1概述：防火墻安全2狀態(tài)檢測概念StatefulInspection2.1不同防火墻實(shí)現(xiàn)狀態(tài)檢測的不同之處2.2CiscoPIX防火墻安全之缺陷2.3NetScreen防火墻安全之缺陷2.4狀態(tài)檢測處理的公共服務(wù)和協(xié)議servicesandprotocols3檢測攻擊和防護(hù)攻擊3.1CheckPoint的方法3.2CiscoPIX在檢測攻擊和防護(hù)攻擊上的局限性3.3NetScreen在檢測攻擊和防護(hù)攻擊上的局限性3.4攻擊的防護(hù)能力總結(jié):CheckPoint的狀態(tài)檢測技術(shù)是防火墻的工業(yè)標(biāo)準(zhǔn)1概述：防火墻安全很多的防火墻產(chǎn)品的出現(xiàn)給網(wǎng)絡(luò)安全管理者進(jìn)行產(chǎn)品選型過程中出現(xiàn)困難。為了決定哪個(gè)產(chǎn)品是最安全的而翻閱大量的市場和銷售的文檔令人頭疼。本文針對防火墻選擇過程提供一些技術(shù)背景，解釋并比較CheckPoint、Cisco、NetScreen提出的安全解決方案。2.狀態(tài)檢測概念StatefulInspection狀態(tài)檢測由CheckPoint公司發(fā)明，是企業(yè)防火墻的事實(shí)上的技術(shù)標(biāo)準(zhǔn)。為了提供全面的安全解決方案，一個(gè)防火墻必須能跟蹤和控制所有會(huì)話的flow，與原始的“包過濾”技術(shù)不同，狀態(tài)檢測分析流入和流出網(wǎng)絡(luò)的“流”，因此可以基于通訊會(huì)話信息（也可基于應(yīng)用信息）做出實(shí)時(shí)的安全判斷，這個(gè)結(jié)果通過跟蹤穿越防火墻網(wǎng)關(guān)的通訊會(huì)話的狀態(tài)state和上下文來實(shí)現(xiàn)，不管這個(gè)連接connection包含多么復(fù)雜的協(xié)議。2.1不同防火墻實(shí)現(xiàn)狀態(tài)檢測的不同之處狀態(tài)防火墻所能提供的安全級(jí)別由是否能跟蹤大量的數(shù)據(jù)和對數(shù)據(jù)是否進(jìn)行了徹底的分析來決定。防火墻只有跟蹤每一個(gè)通訊會(huì)話session的實(shí)際狀態(tài)和許可會(huì)話所動(dòng)態(tài)打開的TCP或UDP端口。如果防火墻沒有這個(gè)能力，就必須打開一個(gè)很大的端口范圍來支持哪怕是最基本的Internet服務(wù)。防火墻如果不加鑒別地打開一定范圍的端口將會(huì)在在安全配置上出現(xiàn)嚴(yán)重的可被利用的漏洞。為了跟蹤上下文，一個(gè)防火墻必須檢查包的內(nèi)容以確保每個(gè)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包能匹配通訊會(huì)話原有的的參數(shù)或?qū)傩?，這就能確?？梢傻幕驉阂獾臄?shù)據(jù)包與正常通訊數(shù)據(jù)包的上下文區(qū)別開來，因此不會(huì)威脅防火墻的安全，為了跟蹤和處理某一應(yīng)用的狀態(tài)state信息和上下文context信息，應(yīng)用的信息被看作具有一定狀態(tài)的traffic，以下是一個(gè)防火墻所應(yīng)該跟蹤和分析的狀態(tài)和上下文關(guān)系的例子：狀態(tài)和上下文信息

數(shù)據(jù)包的頭信息(源地址、目的地址、協(xié)議、源端口、目的端口、包長度)

連接狀態(tài)信息(哪一個(gè)連接打開了哪一個(gè)端口)

TCP和IP分段數(shù)據(jù)(例如：分段號(hào)、順序號(hào))

數(shù)據(jù)包重組、應(yīng)用類型、上下文校驗(yàn)(即：包屬于哪個(gè)通訊會(huì)話session)到防火墻的哪一個(gè)接口上

從防火墻的哪一個(gè)接口上出去第二層信息（如VLANID號(hào))

數(shù)據(jù)包到達(dá)的日期和時(shí)間真正的狀態(tài)檢測意味著能跟蹤通訊的所有的狀態(tài)和上下文信息，所以說，只有CheckPointFireWall-1®?能提供真正的狀態(tài)檢測StatefulInspection.2.2CiscoPIX防火墻安全之缺陷盡管Cisco也講他的技術(shù)是狀態(tài)檢測，但是CiscoPIX防火墻并不能夠?qū)λ兄С值膽?yīng)用和服務(wù)提供狀態(tài)安全機(jī)制。因此，他所能提供的安全是不完整的。例如，PIX不能處理MicrosoftExchange服務(wù)的完整的狀態(tài)和上下文信息，CISCO為了配置PIX能支持fMSExchange服務(wù),Cisco建議用戶在要發(fā)MAIL的外部HOST上打開一定范圍的端口(TCP1024到65535)，如果PIX要維護(hù)MSExchange服務(wù)的狀態(tài)，他將自動(dòng)打開那些所需的應(yīng)用和通訊會(huì)話的端口，Cisco對MSExchange的支持方式是違反安全慣例的：在防火墻上不加選擇地打開一定范圍的沒有用的可被利用的漏洞。并且，PIX不理解MSExchange這種應(yīng)用。由于不理解通訊的上下文，PIX防火墻不能夠阻止夾雜在合法的MSExchange數(shù)據(jù)中的可以數(shù)據(jù)包。對MSExchange的處理方式是CiscoPIX不能按照狀態(tài)檢測數(shù)據(jù)包的一個(gè)簡單例子。更多更全面的對比，祥見表1.2.3NetScreen防火墻安全之缺陷NetScreen的狀態(tài)檢測的實(shí)現(xiàn)也是不完整的。NetScreen防火墻設(shè)備在對所有的應(yīng)用執(zhí)行安全策略時(shí)也不能夠重組碎片fragmentedTCP包，這就意味著在網(wǎng)絡(luò)遭受HTTP-driven攻擊時(shí)會(huì)出現(xiàn)嚴(yán)重的安全問題。如果一個(gè)攻擊（例如一個(gè)可疑的URL）被分片成多個(gè)數(shù)據(jù)包，NetScreen防火墻不能檢測到，也不能夠阻斷這個(gè)攻擊。對包進(jìn)行分片易如反掌，NetScreen防火墻這個(gè)缺陷使被他保護(hù)的網(wǎng)絡(luò)很容易被很多知名的攻擊手段所攻擊。。例如，對于紅色代碼CodeRed，如果一個(gè)可疑的URLstring被分片，并按多個(gè)包發(fā)送，這種攻擊將穿越NetScreen防火墻而不被發(fā)現(xiàn)，一旦目的服務(wù)器收到后，這些惡意的包將被重新組裝，最終導(dǎo)致服務(wù)器“緩沖區(qū)溢出”(更詳細(xì)的內(nèi)容見下面的“檢測攻擊和防護(hù)攻擊”章節(jié)).在所有應(yīng)用和服務(wù)上的TCP包的重新組裝是任何一個(gè)狀態(tài)檢測防火墻的最基本的要求。如果防火墻沒有這個(gè)功能，或者丟棄合法連接的分片的包fragmentedpackets，或者允許夾雜有網(wǎng)絡(luò)攻擊的惡意分片進(jìn)入網(wǎng)絡(luò)。這兩種情況的問題都是潛在的安全威脅。2.4狀態(tài)檢測處理的公共服務(wù)和協(xié)議FireWall-1對應(yīng)用的狀態(tài)的了解深度體現(xiàn)了CHECKPOINT幾年來對各種應(yīng)用和各種協(xié)議的研究和分析的成果。這個(gè)功能的核心是“TCPpacketreassembly”TCP包的重新組裝。如果FireWall-1收到了分片的數(shù)據(jù)包之后，首先重新組裝成原始格式，因此，對整個(gè)數(shù)據(jù)流,streamofdata的分析符合協(xié)議的定義definitions，以及包所承載的信息內(nèi)容的合法性。狀態(tài)檢測防火墻必須對各種應(yīng)用有很大深度的理解才能實(shí)現(xiàn)完全的網(wǎng)絡(luò)保護(hù)。NetScreen和Cisco產(chǎn)品都不支持所有應(yīng)用的“TCPpacketreassembly”在表1中，對號(hào)表示應(yīng)用或者協(xié)議的狀態(tài)基于安全目的進(jìn)行維護(hù)。協(xié)議或應(yīng)用

CheckPoint

CiscoPIX

NetScreen

FireWall-1

IPSecurityProtocol(IPSec)

√

√DomainNamingService(DNS)

√

InternetControlMessageProtocol(ICMP)

√

GeneralPacketRadioServiceTunneling

Protocol(GTP)

√

SessionInitiationProtocol(SIP)

√

√

不完整HPOpenViewServices

√

SUNRemoteProcedureCall(RPC)Services

√

MicrosoftDistributedComponent

ObjectModel(DCOM)

√

MicrosoftExchangeServices

√

源協(xié)議或應(yīng)用心Check腎Poin倒t請Cisco濕PIX攔NetSc醒reen鼻IPSe噸curi玉tyPr琴otoco門l(IP占Sec)遼Domai黑nNam粘ingS竊ervic雹e(DN韻S)辯Inter沃n淺et尤任Contr淺olMe伴ssage傻Prot墻ocol杏(ICMP筆)汽Gener夫alPa頂cket伍Radio炒Serv姨iceT餐unnel濾ing泊浮Proto黎col(技GTP)

擾HPOp池enVi核ewSe照rvice撐s躍SUNR袍emote具Proc殘edure球Call貞(RPC殊)Ser跪vices聚

雄Micro需soft縮Distr追ibute姓dCo掌mpone耐nt數(shù)Sessi顫onIn瘋itiat破ionP蘭rotoc除ol(S止IP)僵Micro趟soft逐Di裂strib粉uted松Compo辮nent撤Objec扮tMod絹el(D么COM)

科Micro濁soft愧Excha萍ngeS總ervic孕es3.檢測攻擊和防御攻擊3.1CheckPoint實(shí)現(xiàn)方法CheckPoint的狀態(tài)檢測引擎針對所有類型的網(wǎng)絡(luò)攻擊進(jìn)行保護(hù)。這就包括簡單的包破壞packetcorruptionattacks的攻擊，以及更高級(jí)別的攻擊例如：oversizedpackets、malicioususeofIPpacketoptions、SYNfloods,基于分片的攻擊方式自動(dòng)地被FireWall-1阻止和記錄blockedandlogged。CheckPoint的獨(dú)特的可擴(kuò)展的軟件模式，可以很方便地應(yīng)用于高水平的網(wǎng)絡(luò)安全需求。諸如隱藏內(nèi)部maildomains，DNS確認(rèn),

FTP,SMTP,HTTP和其他命令集的嚴(yán)格控制，阻止Java和ActiveX,以及基于用戶的email尺寸限制，等等這些功能都可以在FireWall-1policyeditor中輕易實(shí)現(xiàn)。并且，CheckPoint’sFireWall-1的SmartDefense?技術(shù)具備一體化的防攻擊能力。SmartDefense可以檢測和防止所有已知的攻擊和已知攻擊的變種。SmartDefense也可以使管理員能夠在線地很快地更新他們的安全策略。3.2CiscoPIX在檢測攻擊和防護(hù)攻擊上的局限性CiscoPIX防火墻不提供對惡意URL或者基于HTTP攻擊的直接保護(hù)，遠(yuǎn)離網(wǎng)絡(luò)攻擊的威脅，例如CodeRed。Cisco建議用戶用其他專門的入侵檢測產(chǎn)品來防止攻擊（CISCO也能提供IDS產(chǎn)品）。因此加上IDS同時(shí)也可以當(dāng)WEB服務(wù)器受到威脅時(shí)減輕損失。(例如，對WEB服務(wù)器的內(nèi)部開放連接進(jìn)行預(yù)防).3.3NetScreen在檢測攻擊和防護(hù)攻擊上的局限性盡管NetScreen確實(shí)提供了一些集成的攻擊防護(hù)功能。但是這種方式缺乏關(guān)鍵的功能。一個(gè)NetScreen防火墻不能抵御知名攻擊well-knownattacks的變種。（例如紅色代碼或尼姆達(dá)病毒）。對于所有的NetScreen設(shè)備，攻擊特征碼(例如一個(gè)惡意的URL)必須與防火墻數(shù)據(jù)庫中的特征碼精確的匹配才可以識(shí)別出來。攻擊的任何一個(gè)變種，不論變動(dòng)如何微小，都可以穿越防火墻而不被識(shí)別。這個(gè)情況的直接結(jié)果就是NetScreen防火墻不能支持有規(guī)律的特征碼匹配，所以，管理員不得不用特定的wildcard自己查找攻擊攻擊特征變量，因此，攻擊可以通過加以微小的變化就能繞過NetScreen防火墻進(jìn)入網(wǎng)絡(luò)。例如在CodeRed惡意URL增加一個(gè)空格，或者改變一個(gè)字符。FireWall-1中對有規(guī)律的特征匹配的好處可以在.htrworm蠕蟲病毒中體現(xiàn)，當(dāng)前發(fā)布的蠕蟲攻擊以一個(gè)惡意URL做起始，以".htr"結(jié)束。使用有規(guī)律的特征匹配功能，防火墻可以檢查所有可疑的URL以及其變種，從而阻止了所有版本的攻擊。NetScreen設(shè)備不能阻止.htrworm蠕蟲病毒的各種變種版本的攻擊，因?yàn)樗恢С痔卣髌ヅ涔δ?，所以他只能檢測到特定的以".htr"結(jié)束的URL類型，從而增加了用戶的安全風(fēng)險(xiǎn)NetScreen只能檢測有限數(shù)量的攻擊(例如惡意URLs)，NetScreen防火墻不能檢測和阻止其他額外的攻擊類型。并且攻擊檢測的數(shù)量也不能通過升級(jí)內(nèi)存或其他組件來增加。最近以來，所有的NetScreen平臺(tái)有同樣的（攻擊數(shù)量）限制，（見表2），用戶不能擴(kuò)展惡意URL的檢測數(shù)量。即使是最高配置的設(shè)備，這個(gè)限制也是極低（如NS-5000僅支持64個(gè)），一旦達(dá)到限制，管理員必須選擇是否以放棄舊攻擊的代價(jià)來換取抵御新的攻擊。表2顯示可被檢測和阻斷的HTTP-driven攻擊的最大數(shù)量。這些限制的確是太低了，尤其是考慮到NetScreen的惡意URL的檢測機(jī)制是大小寫敏感的。由于NetScreen不支持有規(guī)律的特征匹配功能，安全管理員必須定義所有知名攻擊的大寫和小寫組合。這就意味著由于同種攻擊的不同組合很快就可以達(dá)到這個(gè)數(shù)量限制。

表2，可檢測的惡意URL的最大數(shù)目NetScreenPlatform

Maximum#ofUserDefinedAttacks4

(includingvariantsi.e.CodeRedII)NS-5XT,NS-5XP

48NS-50

48NS-100

48NS-204,NS-208

48NS-500

48NS-1000

48NS-5000Series

643.4攻擊的防護(hù)能力應(yīng)用或協(xié)議

CheckPoint

NetScreen

CiscoFireWall-1

(所有平臺(tái))

PIXLow-levelprotocol-corruptionattacks

√

√

√SYNFlood

√

√

√ICMPflood

√

√

√UDPflood

√

√

PingofDeath

√

√

√IPSpoofing

√

√

√Landattack

√

√

√TearDrop

√

√

√IPSourceRoute

√

√

√IPrangescan

√

√

SYN+FINset

√

√

√N(yùn)oFlagsSet

√

√

√IPoptions

AllBlocked

Partial

PartialICMPfragmentation

√

√

√Per-sourcesessionlimits(DoS/DDoS)

√

√

IP/UDP/TCPheader-to-lengthmismatch

√

Application-layerattacks

EmailSecurity

SMTPcommands

nocontentfiltering)

NotintegratedMaliciousURLs

√

Limited

WinNuke

√

√

IPFragmentation

√

√MalformedFTPcommands

LimitedFTPBounce

√

√TCP-basedattacksspanningm