网络安全产品简述

深度数据包检测(DPI)工具主要用于服务提供商网络,而今企业网络管理员越来越多地采用这种技术,优化应用程序性能管理和保证更高水平的安全性。

状态检测防火墙是目前使用最广泛的防火墙,用来防护黑客攻击。但是,随着专门针对应用层的Web攻击现象的增多,在攻击防护中,状态检测防火墙的有效性越来越低。

一、防火墙:软件防火墙,硬件防火墙,芯片级防火墙。

基本的防火墙检测数据包头,保证HTTP请求只能通向Web服务器,而SMTP流量则转发到电子邮件服务器,但是这无法防御Web攻击或通过电子邮件传播的恶意软件。而DPI工具会检测数据包的所有内容,根据所使用的应用层协议确定性能水平。因此使用DPI,就可以查找、识别、分类、重新确定路由或阻挡带有特定数据或代码的数据包,而这是常规数据包过滤技术无法检测的。

  设计状态检测防火墙时,并没有专门针对Web应用程序攻击,为了适应不断增长的Web应用程序的威胁,新一代的深度检测防火墙出现了。

软件防火墙:运行在特定计算机上(网关计算机),需要网络管理员对所操作的系统比较熟悉。

DPI工具:基于流与基于代理

  本文先介绍了防火墙技术的演变过程,然后介绍了深度检测技术的四个基本特征。

硬件防火墙:一般是经过简化的操作系统(UNIX,LINUX系统),现在硬件防火墙一般具备四个网络接口(内网,外网,DMZ/非军事化区,管理端口),目前市面上大多是这种硬件防火墙。

数据包检测方法可以分成两类:基于流和基于代理。

  1、防火墙技术的演变过程

芯片级防火墙:基于专用的硬件平台,无操作系统,专有的芯片。此类防火墙比其他类型要更快,性能更高,价格相当于高昂。

基于流的检测方式可以检查每一个到达数据包中的数据。如果没有发现威胁,就将数据包转到目标位置。基于代理的检测方式会缓冲构成一个事务的一系列数据包,在接收到所有数据包之后进行威胁扫描。基于流和基于代理的检测技术都能够将数据序列与威胁签名进行匹配,并且能够利用试探法检测零日攻击。

  防火墙技术的演变过程,如图1所示。到目前为止,主要有包过滤防火墙、状态检测防护墙和深度检测防火墙三种类型。

从防火墙技术分为:包过滤防火墙(静动态包过滤),应用代理防火墙(网关型代理,自适应代理)。

对于基于代理的DPI工具,反对者认为进入防御设备的数据量(特别是文件越来越大)使基于代码的产品无法缓冲所有到达的流量。而且,他们相信,缓冲大文件会影响应用程序性能,造成不可接受的延迟。

www.hj8828.com 1

包过滤型工作在网络层和传输层,根据数据包源地址,目的地址,端口号和协议类型等标志确定是否允许通过,只有满足过滤条件的数据包才会被转发到相应的目的地址,其他数据包则被丢弃,包过滤防火墙特点是廉价,通用,有效。

例如,为了解决缓冲区大小的问题,Fortinet推出了一个产品,其中有一个限制缓冲区大小的配置参数。该公司的相关文档解释说,缓冲区大小与漏过攻击的可能性之间需要进行权衡。此外,基于代理的检测的支持者则认为,基于流和基于代理的工具性能差别只是一种错觉,实际的事务处理时间非常接近。

  1.1 包过滤防火墙(Packet Filter Firewall)

应用代理层工作在最高层的应用层,通过每种应用服务编制专门的代理程序,实现监控和控制应用层通信流的作用,应用层防火墙特点是安全,缺点是速度相对于较慢,不适合放在吞吐量较大的环境中。

同时,对于基于流的技术,反对者认为这些工具不如基于代理的工具全面,因为如果不检查整个事务,它就无法检测威胁。而且,他们认为基于流的产品只支持一些基本的解压缩技术,如.zip,而基于代理的产品则支持更多的解压缩技术。基于流的产品供应商则认为,他们的软件在逐一检查数据包时,就能够发现恶意软件的特征。

  包过滤防火墙—-第一代防火墙,没有状态的概念。通过包过滤,管理员能够允许或禁止ACLs(Access
Control Lists,访问控制列表)中的选项,包过滤防火墙主要具有以下属性:

防火墙结构分为:单一主机防火墙(最为传统的防火墙,独立于其他网络设备位于网络边界),路由器集成防火墙(这种防火墙通常是较低级的包过滤型),分布式防火墙(在服务器或主机上安装PCI防火墙卡,通过管理软件进行管理,防火墙卡同时兼有网卡和防火墙双重功能,彻底保护内部网络)。

Wedge
Networks提出了另一种DPI机制:深度内容检测。Wedge的产品会收集一系列的数据包,然后执行解压缩和解码,将它们转换为应用程序级对象。这样,Wedge的反垃圾、反病毒和Web监控产品就可以对整个对象进行检查,从中发现威胁。

  ★ 数据包到达的物理网络接口;

防火墙应用部署位置分为:边界防火墙(最传统型,位于内外网边界,一般都是硬件型,价格较贵,性能较好),个人防火墙(安装于个人主机内,只保护个人主机,性能最差,价格便宜),混合防火墙(是整套防火墙系统,由若干软硬件组成,分布于内外网边界,内部各主机之间,最好的防火墙之一,价格最贵,性能最好。)

将DPI整合到其他网络安全和管理设备上

  ★ 源IP地址和端口;

防火墙性能分为百兆级,千兆级等,带宽越高,性能越好,参数指标:并发连接数,吞吐量,安全过滤带宽,用户数限制,VPN,管理功能等。

DPI功能越来越多地整合到其他网络安全和管理设备上,用于优化网络访问控制,甚至保证服务质量(QoS)。入侵防御系统(IPS)、统一威胁管理
(UTM)和数据泄漏保护(DLP)设备中的DPI功能不仅能够抵御恶意软件,还能够降低企业网络中个人设备引起的安全风险。

  ★ 目标IP地址和端口;

二、入侵检测系统/IDS

此外,DPI工具能够显示每一个应用程序所使用的带宽比例。所以,有一些DPI设备甚至帮助网络管理员基于这些数据控制带宽分配。DPI还可以用在网络测试设备中,帮助网络管理员诱捕和记录应用层发生的特定事件。

  但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。

根据检测原理分为:异常检测,滥用检测,混合检测。

现在,DPI正被整合到其他的网络管理和安全设备上,因此有越来越多的网络技术供应商推出了这类工具。在关于DPI工具的系列文章中,我们将列举大量的DPI供应商。

  由于种种原因,人们认为包过滤防火墙不过安全,于是逐渐被状态检测防火墙所取代。

根据体系结构分为:集中式,等级式,协作式。

  1.2 状态检测防火墙(Stateful Inspection Firewall)

根据检测对象分为:网络入侵检测系统/NIDS(通过网络攻击入侵行为)、系统完整性检测/SIV(检测系统文件和注册表等重要信息是否被修改,以工具软件形式存在)、日志文件检测器/LFM(用于监测网络服务所产生的日志文件,通过关键字进行匹配)、蜜罐系统(诱骗系统,是一个包含漏洞的系统,给黑客提供一个攻击目标,目的是为了研究黑客攻击方法和起诉黑客的证据)。

  状态检测防火墙出现,并成为市场上的绝对领导者,主要有以下原因,包括性能,部署能力和扩展能力。他们在90年代中期得到了迅速发展。1993年,Check
Point公司成功推出了世界上第一台商用的状态检测防火墙产品。

目前市面上最普遍的是两种入侵检测产品:网络入侵检测系统/NIDS(一般用于电信,银行,金融等行业)、主机入侵检测系统/HIDS(一般用于军事,国防等机密部门)。

  状态检测防火墙工作于网络层,与包过滤防火墙相比,状态检测防火墙判断允许还是禁止数据流的依据也是源IP地址,目的IP地址,源端口,目的端口和通讯协议等。与包过滤防火墙不同的是,状态检测防火墙是基于会话信息做出决策的,而不是包的信息;

IDS系统应该放在网络什么位置?

www.hj8828.com,  状态检测防火墙验证进来的数据包时,判断当前数据包是否符合先前允许的会话,并在状态表中保存这些信息。状态检测防火墙还能阻止基于异常TCP的网络层的攻击行为。网络设备,比如路由器,会将数据包分解成更小的数据帧,因此,状态检测设备,通常需要进行IP数据帧的重组,按其原来顺序组装成完整的数据包。

1、网络主机:在非混杂模式网络中,可以将NIDS系统放在主机上,从而检测位于同一网段的机器间是否存在攻击现象。

  1.3 深度检测防火墙(Deep Inspection Firewall)

2、网络边界:IDS非常适合放在网络边界处,例如防火墙的两端、拨号服务器附近以及其他网络连接处,由于这些带宽都不高,所以IDS能跟得上通讯流速度。