網(wǎng)絡防火墻功夫深入到第七層

更新時間：2006年11月03日 00:00:00 作者：

編者按在短短的幾年里，防火墻的功能重心從網(wǎng)絡層發(fā)展到了應用層。本文闡述了這種變遷的技術背景，以及未來的防火墻技術走向。　　

　　應用層攻擊挑戰(zhàn)傳統(tǒng)防火墻 　　

　　最近兩年來，攻擊者的興趣明顯從端口掃描和制造拒絕服務攻擊（DoS Attack）轉向了針對Web、E-mail甚至數(shù)據(jù)庫等主流應用的攻擊。傳統(tǒng)的防火墻僅僅檢查IP數(shù)據(jù)包的包頭，而忽略了內(nèi)容——如果用信件來做比喻，也就是只檢查了信封而沒有檢查信紙。因此對這類應用層的攻擊無能為力。可以說，僅僅靠第三層和第四層的IP地址和協(xié)議端口過濾的防火墻產(chǎn)品早已走到了盡頭。　　

　　戰(zhàn)火燒向七層 　　

　　為了對抗應用層（OSI網(wǎng)絡模型的第七層）的攻擊，防火墻必須具備應用層的過濾能力，一些防火墻產(chǎn)品已經(jīng)具備了這種能力。　　

　　如果把計算機網(wǎng)絡比做一座建筑，傳統(tǒng)的包過濾防火墻就是在企業(yè)內(nèi)部網(wǎng)絡和Internet之間的一系列并列的門。每道門都有安檢人員對到達的包裹（IP數(shù)據(jù)包）進行逐一檢查，若沒有發(fā)現(xiàn)數(shù)據(jù)包含有異常代碼便開門放行。攻擊者常用的伎倆就是通過端口掃描來檢查哪些門是敞開不設防的，然后加以利用。晚些時候出現(xiàn)的具有狀態(tài)檢測功能的防火墻可以檢查哪些數(shù)據(jù)包是來自Internet對內(nèi)部網(wǎng)絡訪問請求的應答。也就是說，安檢人員能夠鑒別那些不請自來的包裹。　　

　　但應用層攻擊就要復雜得多，因為攻擊數(shù)據(jù)包在絕大多數(shù)情況下是合法的數(shù)據(jù)包，不同的只是內(nèi)容具有攻擊性，而且因為IP數(shù)據(jù)包是分段傳輸?shù)?，其?nèi)容的判別需要將所有相關的包重組后才能準確進行。一旦這種攻擊數(shù)據(jù)包通過了防火墻，它們通常會開始有條不紊地利用目標系統(tǒng)的漏洞制造緩沖區(qū)溢出，獲得系統(tǒng)的控制權，然后以此為平臺開始尋找周圍其他系統(tǒng)的漏洞或者其他的蠕蟲留下的后門，進而展開攻擊。　　

　　防火墻的對策 　　

　　對此，一些防火墻產(chǎn)品采取的應對措施是，針對每一類主流的應用， HTTP、SMTP、FTP和SQL Server數(shù)據(jù)庫訪問（基于RPC）都設置專門的過濾器，如果未來出現(xiàn)新的應用層威脅，還可以增加相應的過濾器。用戶可以針對每一種過濾器進行應用相關的過濾設置，例如，可以通過限制任何HTTP訪問請求的緩沖區(qū)不得超過3000個字節(jié)來防止一些蠕蟲的攻擊。在這種新的機制下，來自Internet的數(shù)據(jù)包被發(fā)送到各自的過濾器，過濾器會將數(shù)據(jù)包重組后進行內(nèi)容掃描和判別。拿一封郵件來說，SMTP過濾器會等待相關的包到齊后，在轉發(fā)之前重組郵件對其內(nèi)容進行掃描，與已知類型的攻擊進行比對，在確認這是正常流量后才允許通過。　　

　　經(jīng)過正確配置的現(xiàn)代防火墻可以阻擋絕大多數(shù)已知的病毒郵件和攻擊代碼。雖然阻擋未知的病毒和攻擊要困難得多，但是經(jīng)過合理的策略設置通常是有效的。正確設置策略的基礎是企業(yè)用戶對于自身業(yè)務需求的正確理解，例如，多數(shù)企業(yè)的用戶通常是沒有必要通過郵件來傳遞可執(zhí)行文件和Visual Basic腳本代碼的。用戶可以通過阻斷含有這類可執(zhí)行附件的郵件來對付一些未知的病毒。一旦真的需要發(fā)送這類文件，也可以設置更有針對性的策略，比如只允許IT部門的用戶發(fā)送含有可執(zhí)行文件附件郵件，或者允許用戶接收除含有名為“Kournikova.jpg.vbs”的腳本附件之外的所有郵件。　　

　　安全與性能的矛盾 　

　　用戶早已習慣于把安全性和性能看成是對立的，就像在機場的安檢入口，檢查的步驟越多，等待安檢的隊伍也就越長。對于防火墻來說，性能和安全的確是一對永遠的矛盾，但是應用層過濾的功能對防火墻性能的影響并沒有多數(shù)用戶想象得那么大，一些防火墻標稱每秒鐘可處理超過1000個并發(fā)用戶，同時保持每會話（session）27Mbps的吞吐量。事實上，有些廠商通過硬件（ASIC）實現(xiàn)應用層的過濾引擎，能夠達到更加接近線速(可理解為以太網(wǎng)交換機的處理極限)的處理能力?！　?

　　新的挑戰(zhàn) 　　

　　具有應用層過濾功能的防火墻可以更有效地阻擋當前多數(shù)病毒和攻擊程序，但新的安全威脅的不斷出現(xiàn)又對防火墻提出了新的挑戰(zhàn)。攻擊的來源正在變得更加復雜，而攻擊的手段也愈加高明，最近垃圾郵件與攻擊代碼的結合就是一個典型的例證。這一方面需要防火墻設備對于應用層的內(nèi)容有更好的認知和智能判別的能力，另一方面也需要防火墻更多地與其他的安全設備和應用有效配合，從而實現(xiàn)更加有力的防護。