状态检测技术以及竞争厂商对比26730.docx

《状态检测技术以及竞争厂商对比26730.docx》由会员分享，可在线阅读，更多相关《状态检测技术以及竞争厂商对比26730.docx（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.n状态检测技技术以及及竞争厂厂商对比比-为什么么所有的的状态检检测防火火墙并不不完全相相同？提提纲1 概述：防火墙墙安全22 状态态检测概概念 SStattefuul IInsppecttionn2.11 不同同防火墙墙实现状状态检测测的不同同之处22.2 Cissco PIXX防火墙墙安全之之缺陷22.3 NettScrreenn防火墙墙安全之之缺陷22.4 状态检检测处理理的公共共服务和和协议sservvicees aand prootoccolss3

2、检检测攻击击和防护护攻击33.1 Cheeck Poiint的的方法33.2 Cissco PIXX 在检检测攻击击和防护护攻击上上的局限限性3.3 NNetSScreeen 在检测测攻击和和防护攻攻击上的的局限性性3.44 攻击击的防护护能力总总结: Cheeck Poiint的的状态检检测技术术是防火火墙的工工业标准准1 概概述：防防火墙安安全很多多的防火火墙产品品的出现现给网络络安全管管理者进进行产品品选型过过程中出出现困难难。为了了决定哪哪个产品品是最安安全的而而翻阅大大量的市市场和销销售的文文档令人人头疼。本本文针对对防火墙墙选择过过程提供供一些技技术背景景，解释释并比较较Cheec

3、k Poiint 、Ciiscoo、 NNetSScreeen 提出的的安全解解决方案案。2. 状态态检测概概念 SStattefuul IInsppecttionn状态检检测由CChecck PPoinnt公司司发明，是是企业防防火墙的的事实上上的技术术标准。为为了提供供全面的的安全解解决方案案，一个个防火墙墙必须能能跟踪和和控制所所有会话话的fllow，与与原始的的“包过过滤”技技术不同同，状态态检测分分析流入入和流出出网络的的“流”，因因此可以以基于通通讯会话话信息（也也可基于于应用信信息）做做出实时时的安全全判断， 这个结结果通过过跟踪穿穿越防火火墙网关关的通讯讯会话的的状态sstat

4、te和上上下文来来实现，不不管这个个连接cconnnecttionn包含多多么复杂杂的协议议。2.1不同同防火墙墙实现状状态检测测的不同同之处状状态防火火墙所能能提供的的安全级级别由是是否能跟跟踪大量量的数据据和对数数据是否否进行了了彻底的的分析来来决定。防防火墙只只有跟踪踪每一个个通讯会会话seessiion的的实际状状态和许许可会话话所动态态打开的的TCPP或UDDP端口口 。如如果防火火墙没有有这个能能力，就就必须打打开一个个很大的的端口范范围来支支持哪怕怕是最基基本的IInteerneet服务务。防火火墙如果果不加鉴鉴别地打打开一定定范围的的端口将将会在在在安全配配置上出出现严重重的可

5、被被利用的的漏洞。为为了跟踪踪上下文文，一个个防火墙墙必须检检查包的的内容以以确保每每个进入入网络的的数据包包能匹配配通讯会会话原有有的的参参数或属属性，这这就能确确保可疑疑的或恶恶意的数数据包与与正常通通讯数据据包的上上下文区区别开来来，因此此不会威威胁防火火墙的安安全，为为了跟踪踪和处理理某一应应用的状状态sttatee信息和和上下文文conntexxt信息息，应用用的信息息被看作作具有一一定状态态的trrafffic，以以下是一一个防火火墙所应应该跟踪踪和分析析的状态态和上下下文关系系的例子子：状态态和上下下文信息息数数据包的的头信息息 (源源地址、目目的地址址、协议议、源端端口、目目的

6、端口口、包长长度)连接接状态信信息 (哪一个个连接打打开了哪哪一个端端口)TCCP 和和 IPP 分段段数据 (例如如：分段段号、顺顺序号) 数数据包重重组、应应用类型型、上下下文校验验 (即即：包属属于哪个个通讯会会话seessiion)到防火火墙的哪哪一个接接口上从防防火墙的的哪一个个接口上上出去第二二层信息息 （如如VLAAN IID号)数数据包到到达的日日期和时时间真正正的状态态检测意意味着能能跟踪通通讯的所所有的状状态和上上下文信信息，所所以说，只只有Chheckk Poointt FiireWWalll-1®g; 能提供供真正的的状态检检测Sttateefull Innspe

7、ectiion.2.22 Ciiscoo PIIX防火火墙安全全之缺陷陷尽管CCiscco也讲讲他的技技术是状状态检测测，但是是Cissco PIXX 防火火墙并不不能够对对所有支支持的应应用和服服务提供供状态安安全机制制。因此此，他所所能提供供的安全全是不完完整的。例例如， PIXX 不能能处理MMicrrosooft Excchannge 服务的的完整的的状态和和上下文文信息，CCISCCO为了了配置PPIX能能支持ff MSS Exxchaangee服务, Ciiscoo 建议议用户在在要发MMAILL的外部部HOSST上打打开一定定范围的的端口 (TCCP 110244 到 65553

8、5)，如果果PIXX要维护护MS Excchannge服服务的状状态，他他将自动动打开那那些所需需的应用用和通讯讯会话的的端口， Cissco对对 MSS Exxchaangee 的支支持方式式是违反反安全惯惯例的：在防火火墙上不不加选择择地打开开一定范范围的没没有用的的可被利利用的漏漏洞。并并且， PIXX不理解解MS Excchannge这这种应用用。由于于不理解解通讯的的上下文文， PPIX防防火墙不不能够阻阻止夹杂杂在合法法的MSS Exxchaangee 数据据中的可可以数据据包。对对MS Excchannge的的处理方方式是CCiscco PPIX 不能按按照状态态检测数数据包的的

9、一个简简单例子子。更多多更全面面的对比比，祥见见表1.2.33 NeetSccreeen防火火墙安全全之缺陷陷NettScrreenn的状态态检测的的实现也也是不完完整的。 NettScrreenn防火墙墙设备在在对所有有的应用用执行安安全策略略时也不不能够重重组碎片片 frragmmentted TCPP 包，这这就意味味着在网网络遭受受HTTTP-ddrivven攻攻击时会会出现严严重的安安全问题题。如果果一个攻攻击（例例如一个个可疑的的URLL）被分分片成多多个数据据包，NNetSScreeen防防火墙不不能检测测到，也也不能够够阻断这这个攻击击。对包包进行分分片易如如反掌，NNetSS

10、creeen防防火墙这这个缺陷陷使被他他保护的的网络很很容易被被很多知知名的攻攻击手段段所攻击击。例例如，对对于红色色代码 Codde RRed，如如果一个个可疑的的URLL sttrinng 被被分片，并并按多个个包发送送，这种种攻击将将穿越NNetSScreeen防防火墙而而不被发发现，一一旦目的的服务器器收到后后，这些些恶意的的包将被被重新组组装，最最终导致致服务器器“缓冲冲区溢出出” (更详细细的内容容见下面面的“检检测攻击击和防护护攻击”章章节).在所有有应用和和服务上上的TCCP包的的重新组组装是任任何一个个状态检检测防火火墙的最最基本的的要求。如果防火墙没有这个功能，或者丢弃合法

11、连接的分片的包fragmented packets，或者允许夹杂有网络攻击的恶意分片进入网络。这两种情况的问题都是潜在的安全威胁。2.4 状态检测处理的公共服务和协议FireWall-1对应用的状态的了解深度体现了CHECKPOINT几年来对各种应用和各种协议的研究和分析的成果。这个功能的核心是“TCP packet reassembly”TCP包的重新组装。如果 FireWall-1 收到了分片的数据包之后，首先重新组装成原始格式，因此，对整个数据流,stream of data的分析符合协议的定义definitions ，以及包所承载的信息内容的合法性。状态检测防火墙必须对各种应用有很大深

12、度的理解才能实现完全的网络保护。NetScreen 和Cisco 产品都不支持所有应用的“TCP packet reassembly” 在表1中，对号表示应用或者协议的状态基于安全目的进行维护。协议或应用 Check Point Cisco PIX NetScreen FireWall-1 IP Security Protocol (IPSec) Domain Naming Service (DNS) Internet Control Message Protocol (ICMP) General Packet Radio Service Tunneling Protocol (GTP) Se

13、ssion Initiation Protocol (SIP) 不完整HP Open View Services SUN Remote Procedure Call (RPC) Services Microsoft Distributed Component Object Model (DCOM) Microsoft Exchange Services 协议或应用用Checkk PoointtCiscoo PIIXNetSccreeenIP Seecurrityy Prrotoocoll (IIPSeec)Domaiin NNamiing Serrvicce (DNSS)Interrnett

14、Conntrool MMesssagee Prrotoocoll (IICMPP)Generral Pacckett Raadioo Seerviice Tunnnellingg Prootoccol (GTTP)HP Oppen Vieew SServviceesSUN RRemoote Proocedduree Caall (RPPC) SerrviccesMicroosofft DDisttribbuteed CCompponeentSessiion Iniitiaatioon PProttocool (SIPP)Microosofft DDisttribbuteed CComppone

15、entObjecct MModeel (DCOOM)Microosofft EExchhangge SServvicees3. 检测测攻击和和防御攻攻击3.1 CChecck PPoinnt 实实现方法法Cheeck Poiint的的状态检检测引擎擎针对所所有类型型的网络络攻击进进行保护护。这就就包括简简单的包包破坏ppackket corrrupptioon aattaackss的攻击击，以及及更高级级别的攻攻击例如如：ovverssizeed ppackketss、maalicciouus uuse of IP pacckett opptioons、SSYN flooodss, 基基于分片

16、片的攻击击方式自自动地被被FirreWaall-1阻止止和记录录bloockeed aand logggedd。Chheckk Poointt 的独独特的可可扩展的的软件模模式，可可以很方方便地应应用于高高水平的的网络安安全需求求。 诸诸如隐藏藏内部mmaill doomaiins， DNSS确认,FFTP, SMMTP, HTTTP和和其他命命令集的的严格控控制， 阻止JJavaa 和 ActtiveeX, 以及基基于用户户的emmaill尺寸限限制，等等等这些些功能都都可以在在FirreWaall-1 ppoliicy ediitorr中轻易易实现。并且，Check Points Fire

17、Wall-1 的SmartDefense技术具备一体化的防攻击能力。SmartDefense 可以检测和防止所有已知的攻击和已知攻击的变种。SmartDefense也可以使管理员能够在线地很快地更新他们的安全策略。3.2 Cisco PIX 在检测攻击和防护攻击上的局限性Cisco PIX 防火墙不提供对恶意URL或者基于HTTP攻击的直接保护，远离网络攻击的威胁，例如Code Red。 Cisco建议用户用其他专门的入侵检测产品来防止攻击（CISCO也能提供IDS产品）。因此加上IDS同时也可以当WEB服务器受到威胁时减轻损失。 (例如，对WEB服务器的内部开放连接进行预防).3.3 Net

18、Screen在检测攻击和防护攻击上的局限性尽管NetScreen确实提供了一些集成的攻击防护功能。但是这种方式缺乏关键的功能。一个 NetScreen防火墙不能抵御知名攻击well-known attacks的变种。（例如红色代码或尼姆达病毒） 。对于所有的NetScreen 设备，攻击特征码(例如一个恶意的URL)必须与防火墙数据库中的特征码精确的匹配才可以识别出来。 攻击的任何一个变种，不论变动如何微小，都可以穿越防火墙而不被识别。这个情况的直接结果就是NetScreen 防火墙不能支持有规律的特征码匹配，所以，管理员不得不用特定的wild card自己查找攻击攻击特征变量，因此，攻击可以

19、通过加以微小的变化就能绕过NetScreen防火墙进入网络。例如在Code Red恶意URL增加一个空格，或者改变一个字符。FireWall-1中对有规律的特征匹配的好处可以在.htr worm蠕虫病毒中体现，当前发布的蠕虫攻击以一个恶意URL做起始，以.htr结束。使用有规律的特征匹配功能，防火墙可以检查所有可疑的URL以及其变种，从而阻止了所有版本的攻击。NetScreen 设备不能阻止.htr worm 蠕虫病毒的各种变种版本的攻击，因为他不支持特征匹配功能，所以他只能检测到特定的以.htr结束的URL类型，从而增加了用户的安全风险NetScreen只能检测有限数量的攻击 (例如恶意 U

20、RLs)， NetScreen防火墙不能检测和阻止其他额外的攻击类型。并且攻击检测的数量也不能通过升级内存或其他组件来增加。最近以来，所有的NetScreen平台有同样的（攻击数量）限制，（见表2），用户不能扩展恶意URL的检测数量。即使是最高配置的设备，这个限制也是极低（如NS-5000仅支持64个），一旦达到限制，管理员必须选择是否以放弃旧攻击的代价来换取抵御新的攻击。表2显示可被检测和阻断的HTTP-driven攻击的最大数量。这些限制的确是太低了，尤其是考虑到Net Screen的恶意URL的检测机制是大小写敏感的。由于NetScreen不支持有规律的特征匹配功能，安全管理员必须定义所

21、有知名攻击的大写和小写组合。这就意味着由于同种攻击的不同组合很快就可以达到这个数量限制。 表2，可检测的恶意URL的最大数目NetScreen Platform Maximum # of User Defined Attacks4 (including variants i.e. Code Red II)NS-5XT, NS-5XP 48NS-50 48NS-100 48NS-204, NS-208 48NS-500 48NS-1000 48NS-5000 Series 643.4攻击的防护能力应用或协议 Check Point NetScreen Cisco FireWall-1 (所有平台

22、) PIXLow-level protocol-corruption attacks SYN Flood ICMP flood UDP flood Ping of Death IP Spoofing Land attack Tear Drop IP Source Route IP range scan SYN+FIN set No Flags Set IP options All Blocked Partial PartialICMP fragmentation Per-source session limits (DoS/DDoS) IP/UDP/TCP header-to-length m

23、ismatch Application-layer attacks Email Security SMTP commands no content filtering) Not integratedMalicious URLs Limited WinNuke IP Fragmentation Malformed FTP commands LimitedFTP Bounce TCP-based attacks spanning multiple packets HTTP-based attacks spanning multiple packets 表3：攻击的识别和预防应用或协议议Checkk

24、 PoointtNetSccreeenCiscooLow-lleveel pprottocool-ccorrrupttionn atttaccksSYN FFlooodICMP flooodUDP fflooodPing of DeaathIP SppooffinggLand atttackkTear DroopIP Soourcce RRoutteIP raangee sccanSYN+FFIN settNo Fllagss SeetIP opptioons Alll Bllockked Parrtiaal PParttiall ICMMP ffraggmenntattionnPer-sso

25、urrce sesssioon llimiits (DooS/DDDoSS)IP/UDDP/TTCP heaaderr-too-leengtth mmismmatcch总结: CCHECCK PPOINNT的状状态检测测是防火火墙的工工业标准准状态防防火墙所所提供的的安全级级别决定定于所能能跟踪的的数量以以及分析析的如何何彻底。尽尽管各厂厂商都普普遍宣称称能提供供状态检检测技术术，但并并非所有有的都是是真正的的状态检检测或者者是真正正安全的的。当我我们评估估一个防防火墙的的解决方方案是，关关键要看看厂商的的在提供供状态检检测防火火墙技术术方面是是否专业业和是否否有经验验。以及及产品是是否成熟熟、明确确支持的的服务的的数目区区分防火火墙实力力的最可可靠的标标准是抵抵御攻击击能力的的宽度。Check Point的专利技术状态检测已经成为近十年来的安全方面的工业标准， FireWall-1业已成为业界最安全最富实力的状态检测防火墙。