状态检测技术以及竞争厂商对比

状态检测技术以及竞争厂商对比

------为什么所有的状态检测防火墙并不完全相同？

提纲

1 概述：防火墙安全

2 状态检测概念Stateful Inspection

2.1 不同防火墙实现状态检测的不同之处

2.2 Cisco PIX防火墙安全之缺陷

2.3 NetScreen防火墙安全之缺陷

2.4 状态检测处理的公共服务和协议services and protocols

3 检测攻击和防护攻击

3.1 Check Point的方法

3.2 Cisco PIX 在检测攻击和防护攻击上的局限性

3.3 NetScreen 在检测攻击和防护攻击上的局限性

3.4 攻击的防护能力

总结: Check Point的状态检测技术是防火墙的工业标准

1 概述：防火墙安全

很多的防火墙产品的出现给网络安全管理者进行产品选型过程中出现困难。为了决定哪个产品是最安全的而翻阅大量的市场和销售的文档令人头疼。本文针对防火墙选择过程提供一些技术背景，解释并比较Check Point 、Cisco、NetScreen 提出的安全解决方案。

2. 状态检测概念Stateful Inspection

状态检测由Check Point公司发明，是企业防火墙的事实上的技术标准。为了提供全面的安全解决方案，一个防火墙必须能跟踪和控制所有会话的flow，与原始的“包过滤”技术不同，状态检测分析流入和流出网络的“流”，因此可以基于通讯会话信息（也可基于应用信息）做出实时的安全判断，这个结果通过跟踪穿越防火墙网关的通讯会话的状态state和上下文来实现，不管这个连接connection包含多么复杂的协议。

2.1不同防火墙实现状态检测的不同之处

状态防火墙所能提供的安全级别由是否能跟踪大量的数据和对数据是否进行了彻底的分析来决定。防火墙只有跟踪每一个通讯会话session的实际状态和许可会话所动态打开的TCP或UDP端口。如果防火墙没有这个能力，就必须打开一个很大的端口范围来支持哪怕是最基本的Internet服务。防火墙如果不加鉴别地打开一定范围的端口将会在在安全配置上出现严重的可被利用的漏洞。为了跟踪上下文，一个防火墙必须检查包的内容以确保每个进入网络的数据包能匹配通讯会话原有的的参数或属性，这就能确保可疑的或恶意的数据包与正常通讯数据包的上下文区别开来，因此不会威胁防火墙的安全，为了跟踪和处理某一应用的状态state信息和上下文context信息，应用的信息被看作具有一定状态的traffic，以下是一个防火墙所应该跟踪和分析的状态和上下文关系的例子：

状态和上下文信息

数据包的头信息(源地址、目的地址、协议、源端口、目的端口、包长度)

连接状态信息(哪一个连接打开了哪一个端口)

TCP 和IP 分段数据(例如：分段号、顺序号)

数据包重组、应用类型、上下文校验(即：包属于哪个通讯会话session)

到防火墙的哪一个接口上

从防火墙的哪一个接口上出去

第二层信息（如VLAN ID号)

数据包到达的日期和时间

真正的状态检测意味着能跟踪通讯的所有的状态和上下文信息，所以说，只有

Check Point FireWall-1®‚ 能提供真正的状态检测Stateful Inspection.

2.2 Cisco PIX防火墙安全之缺陷

尽管Cisco也讲他的技术是状态检测，但是Cisco PIX 防火墙并不能够对所有支持的应用和服务提供状态安全机制。因此，他所能提供的安全是不完整的。例如，PIX 不能处理Microsoft Exchange 服务的完整的状态和上下文信息，CISCO为了配置PIX能支持f MS Exchange服务, Cisco 建议用户在要发MAIL的外部HOST上打开一定范围的端口(TCP 1024 到65535)，如果PIX要维护

MS Exchange服务的状态，他将自动打开那些所需的应用和通讯会话的端口，Cisco对MS Exchange 的支持方式是违反安全惯例的：在防火墙上不加选择地打开一定范围的没有用的可被利用的漏洞。并且，PIX 不理解MS Exchange这种应用。由于不理解通讯的上下文，PIX防火墙不能够阻止夹杂在合法的MS Exchange 数据中的可以数据包。对MS Exchange的处理方式是Cisco PIX 不能按照状态检测数据包的一个简单例子。更多更全面的对比，祥见表1

.

2.3 NetScreen防火墙安全之缺陷

NetScreen的状态检测的实现也是不完整的。NetScreen防火墙设备在对所有的应用执行安全策略时也不能够重组碎片fragmented TCP 包，这就意味着在网络遭受HTTP-driven攻击时会出现严重的安全问题。如果一个攻击（例如一个可疑的URL）被分片成多个数据包，NetScreen防火墙不能检测到，也不能够阻断这个攻击。对包进行分片易如反掌，NetScreen防火墙这个缺陷使被他保护的网络很容易被很多知名的攻击手段所攻击。。

例如，对于红色代码Code Red，如果一个可疑的URL string 被分片，并按多个包发送，这种攻击将穿越NetScreen防火墙而不被发现，一旦目的服务器收到后，这些恶意的包将被重新组装，最终导致服务器“缓冲区溢出” (更详细的内容见下面的“检测攻击和防护攻击”章节).

在所有应用和服务上的TCP包的重新组装是任何一个状态检测防火墙的最基本的要求。如果防火墙没有这个功能，或者丢弃合法连接的分片的包fragmented packets，或者允许夹杂有网络攻击的恶意分片进入网络。这两种情况的问题都是潜在的安全威胁。

2.4 状态检测处理的公共服务和协议

FireWall-1对应用的状态的了解深度体现了CHECKPOINT几年来对各种应用和各种协议的研究和分析的成果。这个功能的核心是“TCP packet reassembly”TCP包的重新组装。

如果FireWall-1 收到了分片的数据包之后，首先重新组装成原始格式，因此，对整个数据流,stream of data 的分析符合协议的定义definitions ，以及包所承载的信息内容的合法性。

状态检测防火墙必须对各种应用有很大深度的理解才能实现完全的网络保护。

NetScreen 和Cisco 产品都不支持所有应用的“TCP packet reassembly”

在表1中，对号表示应用或者协议的状态基于安全目的进行维护。

协议或应用Check Point Cisco PIX NetScreen

FireWall-1

IP Security Protocol (IPSec) √√

Domain Naming Service (DNS) √