| 状态检测防火墙是目前使用最广泛的防火墙,用来防护黑客攻击。但是,随着专门针对应用层的Web攻击现象的增多,在攻击防护中,状态检测防火墙的有效性越来越低。
设计状态检测防火墙时,并没有专门针对Web应用程序攻击,为了适应不断增长的Web应用程序的威胁,新一代的深度检测防火墙出现了。
本文先介绍了防火墙技术的演变过程,然后介绍了深度检测技术的四个基本特征。
1、防火墙技术的演变过程
防火墙技术的演变过程,如图1所示。到目前为止,主要有包过滤防火墙、状态检测防护墙和深度检测防火墙三种类型。
1.1 包过滤防火墙(Packet Filter Firewall)
包过滤防火墙----第一代防火墙,没有状态的概念。通过包过滤,管理员能够允许或禁止ACLs(Access
Control Lists,访问控制列表)中的选项,包过滤防火墙主要具有以下属性:
★ 数据包到达的物理网络接口;
★ 源IP地址和端口;
★ 目标IP地址和端口;
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
由于种种原因,人们认为包过滤防火墙不过安全,于是逐渐被状态检测防火墙所取代。
1.2 状态检测防火墙(Stateful Inspection Firewall)
状态检测防火墙出现,并成为市场上的绝对领导者,主要有以下原因,包括性能,部署能力和扩展能力。他们在90年代中期得到了迅速发展。1993年,Check
Point公司成功推出了世界上第一台商用的状态检测防火墙产品。
状态检测防火墙工作于网络层,与包过滤防火墙相比,状态检测防火墙判断允许还是禁止数据流的依据也是源IP地址,目的IP地址,源端口,目的端口和通讯协议等。与包过滤防火墙不同的是,状态检测防火墙是基于会话信息做出决策的,而不是包的信息;
状态检测防火墙验证进来的数据包时,判断当前数据包是否符合先前允许的会话,并在状态表中保存这些信息。状态检测防火墙还能阻止基于异常TCP的网络层的攻击行为。网络设备,比如路由器,会将数据包分解成更小的数据帧,因此,状态检测设备,通常需要进行IP数据帧的重组,按其原来顺序组装成完整的数据包。
1.3 深度检测防火墙(Deep Inspection Firewall)
深度检测防火墙,将状态检测和应用防火墙技术结合在一起,以处理应用程序的流量,防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能,深度检测防火墙能够对数据流量迅速完成网络层级别的分析,并做出访问控制决;对于允许的数据流,根据应用层级别的信息,对负载做出进一步的决策。
深度检测防火墙深入分析了TCP或UDP数据包的内容,以便对负载有个总的认识。
状态检测防火墙是目前使用最广泛的防火墙,用来防护黑客攻击。但是,随着专门针对应用层的Web攻击现象的增多,在攻击防护中,状态检测防火墙的有效性越来越低。
设计状态检测防火墙时,并没有专门针对Web应用程序攻击,为了适应不断增长的Web应用程序的威胁,新一代的深度检测防火墙出现了。
本文先介绍了防火墙技术的演变过程,然后介绍了深度检测技术的四个基本特征。
1、防火墙技术的演变过程
防火墙技术的演变过程,如图1所示。到目前为止,主要有包过滤防火墙、状态检测防护墙和深度检测防火墙三种类型。
1.1 包过滤防火墙(Packet Filter Firewall)
包过滤防火墙----第一代防火墙,没有状态的概念。通过包过滤,管理员能够允许或禁止ACLs(Access
Control Lists,访问控制列表)中的选项,包过滤防火墙主要具有以下属性:
★ 数据包到达的物理网络接口;
★ 源IP地址和端口;
★ 目标IP地址和端口;
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
由于种种原因,人们认为包过滤防火墙不过安全,于是逐渐被状态检测防火墙所取代。
1.2 状态检测防火墙(Stateful Inspection Firewall)
状态检测防火墙出现,并成为市场上的绝对领导者,主要有以下原因,包括性能,部署能力和扩展能力。他们在90年代中期得到了迅速发展。1993年,Check
Point公司成功推出了世界上第一台商用的状态检测防火墙产品。
状态检测防火墙工作于网络层,与包过滤防火墙相比,状态检测防火墙判断允许还是禁止数据流的依据也是源IP地址,目的IP地址,源端口,目的端口和通讯协议等。与包过滤防火墙不同的是,状态检测防火墙是基于会话信息做出决策的,而不是包的信息;
状态检测防火墙验证进来的数据包时,判断当前数据包是否符合先前允许的会话,并在状态表中保存这些信息。状态检测防火墙还能阻止基于异常TCP的网络层的攻击行为。网络设备,比如路由器,会将数据包分解成更小的数据帧,因此,状态检测设备,通常需要进行IP数据帧的重组,按其原来顺序组装成完整的数据包。
1.3 深度检测防火墙(Deep Inspection Firewall)
深度检测防火墙,将状态检测和应用防火墙技术结合在一起,以处理应用程序的流量,防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能,深度检测防火墙能够对数据流量迅速完成网络层级别的分析,并做出访问控制决;对于允许的数据流,根据应用层级别的信息,对负载做出进一步的决策。
深度检测防火墙深入分析了TCP或UDP数据包的内容,以便对负载有个总的认识。
状态检测防火墙是目前使用最广泛的防火墙,用来防护黑客攻击。但是,随着专门针对应用层的Web攻击现象的增多,在攻击防护中,状态检测防火墙的有效性越来越低。
设计状态检测防火墙时,并没有专门针对Web应用程序攻击,为了适应不断增长的Web应用程序的威胁,新一代的深度检测防火墙出现了。
本文先介绍了防火墙技术的演变过程,然后介绍了深度检测技术的四个基本特征。
1、防火墙技术的演变过程
防火墙技术的演变过程,如图1所示。到目前为止,主要有包过滤防火墙、状态检测防护墙和深度检测防火墙三种类型。
1.1 包过滤防火墙(Packet Filter Firewall)
包过滤防火墙----第一代防火墙,没有状态的概念。通过包过滤,管理员能够允许或禁止ACLs(Access
Control Lists,访问控制列表)中的选项,包过滤防火墙主要具有以下属性:
★ 数据包到达的物理网络接口;
★ 源IP地址和端口;
★ 目标IP地址和端口;
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
由于种种原因,人们认为包过滤防火墙不过安全,于是逐渐被状态检测防火墙所取代。
1.2 状态检测防火墙(Stateful Inspection Firewall)
状态检测防火墙出现,并成为市场上的绝对领导者,主要有以下原因,包括性能,部署能力和扩展能力。他们在90年代中期得到了迅速发展。1993年,Check
Point公司成功推出了世界上第一台商用的状态检测防火墙产品。
状态检测防火墙工作于网络层,与包过滤防火墙相比,状态检测防火墙判断允许还是禁止数据流的依据也是源IP地址,目的IP地址,源端口,目的端口和通讯协议等。与包过滤防火墙不同的是,状态检测防火墙是基于会话信息做出决策的,而不是包的信息;
状态检测防火墙验证进来的数据包时,判断当前数据包是否符合先前允许的会话,并在状态表中保存这些信息。状态检测防火墙还能阻止基于异常TCP的网络层的攻击行为。网络设备,比如路由器,会将数据包分解成更小的数据帧,因此,状态检测设备,通常需要进行IP数据帧的重组,按其原来顺序组装成完整的数据包。
1.3 深度检测防火墙(Deep Inspection Firewall)
深度检测防火墙,将状态检测和应用防火墙技术结合在一起,以处理应用程序的流量,防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能,深度检测防火墙能够对数据流量迅速完成网络层级别的分析,并做出访问控制决;对于允许的数据流,根据应用层级别的信息,对负载做出进一步的决策。
深度检测防火墙深入分析了TCP或UDP数据包的内容,以便对负载有个总的认识。
2.4 双向负载检测
深度检测具有强大功能,能够允许数据包通过,拒绝数据包,检查或修改第4到7层数据包,包括包头或负载。HTTP深度检测能够查看到消息体中的URL,包头和参数等信息。深度检测防火墙能够自动进行动态配置,以便正确检测服务变量,如最大长度,隐藏字段和Radio按钮等等。如果请求的变量不匹配,不存在或者不正确的话,深度检测防火墙会将请求丢弃掉,将该事件写入日志,并给管理员发出警告信息。
深度检测技术允许修改或转换URL,包头和参数,这一点与应用层上的NAT类似。如图5所示。
3、总结
在复杂的Web环境中,为了提供全面的应用程序防护,深度检测是必需的。为了能够有效的阻止Web攻击,防火墙必须能够应用基于源IP地址、目的IP地址、端口以及应用程序内容的安全策略。
深度检测技术还在不断发展,但是深度检测技术一般具有应用层加密/解密、正常化、协议一致性、双向负载检测等四个方面的特征。
企业部署Web应用程序时,应该要确保防火墙能够满足这些应用程序要求得的安全需求,并且防火墙能够满足深度检测技术中的四项基本特征。
| 
