状态检测技术以及竞争厂商对比

状态检测技术以及竞争厂商对比ﻫ

1概述：防火墙安全

－--－－－为什么所有的状态检测防火墙并不完全相同?ﻫ提纲ﻫ

２状态检测概念StaｔｅfｕｌInspecｔｉon

2.１不同防火墙实现状态检测的不同之处ﻫ２.２Cisco PＩX防火墙安全之缺陷

2.4状态检测处理的公共服务和协议ｓｅｒvices anｄprotｏｃo ２．３NeｔＳcreen防火墙安全之缺陷ﻫ

ｌs

3.2Ciｓco ＰIX 在检测攻击和防护攻击上的局限性ﻫ

3.1Check Pｏinｔ的方法ﻫ

3 检测攻击和防护攻击ﻫ

3.4攻击的防护能力ﻫ总结:Ｃｈeｃk Ｐｏｉ３.3 NetSｃrｅｅn在检测攻击和防护攻击上的局限性ﻫ

nt的状态检测技术是防火墙的工业标准

ﻫ

1 概述：防火墙安全

很多的防火墙产品的出现给网络安全管理者进行产品选型过程中出现困难。为了决定哪个产品是最安全的而翻阅大量的市场和销售的文档令人头疼。本文针对防火墙选择过程提供一些技术背景，解释并比较Ｃheck

2.状态检测概念Ｓtaｔeful Iｎspectionﻫ状Point、Ｃｉsco、NｅtＳcreen 提出的安全解决方案。ﻫﻫ

态检测由Check Poｉnt公司发明,是企业防火墙的事实上的技术标准。为了提供全面的安全解决方案,一个防火墙必须能跟踪和控制所有会话的ｆlow，与原始的“包过滤”技术不同，状态检测分析流入和流出网络的“流”,因此可以基于通讯会话信息（也可基于应用信息)做出实时的安全判断, 这个结果通过跟踪穿越防火墙网关的通讯会话的状态ｓtａte和上下文来实现,不管这个连接coｎｎection包含多么复杂的协议。

ﻫ2.１不同防火墙实现状态检测的不同之处ﻫ状态防火墙所能提供的安全级别由是否能跟踪大量的数据和对数据是否进行了彻底的分析来决定。防火墙只有跟踪每一个通讯会话session的实际状态和许可会话所动态打开的TCP或UDＰ端口。如果防火墙没有这个能力，就必须打开一个很大的端口范围来支持哪怕是最基本的Interneｔ服务。防火墙如果不加鉴别地打开一定范围的端口将会在在安全配置上出现严重的可被利用的漏洞。为了跟踪上下文,一个防火墙必须检查包的内容以确保每个进入网络的数据包能匹配通讯会话原有的的参数或属性，这就能确保可疑的或恶意的数据包与正常通讯数据包的上下文区别开来，因此不会威胁防火墙的安全,为了跟踪和处理某一应用的状态stａte信息和上下文context信息，应用的信息被看作具有一定状态的traffic,以下是一个防火墙所应该跟踪和分析的状态和上下文关系的例子：

ﻫ状态和上下文信息ﻫ数据包的头信息（源地址、目的地址、协议、源端口、目的端口、包长度)

连接状态信息（哪一个连接打开了哪一个端口）ﻫ TＣP 和IP 分段数据(例如：分段号、顺序号）ﻫ数据包重组、应用类型、上下文校验(即：包属于哪个通讯会话seｓｓiｏn)

到防火墙的哪一个接口上ﻫ从防火墙的哪一个接口上出去ﻫ第二层信息(如VLAN ID号）ﻫ数据包到达的日期和时间

真正的状态检测意味着能跟踪通讯的所有的状态和上下文信息,所以说，只有ﻫCheck PｏinｔＦｉrｅWａll-1&ｒeｇ;‚ 能提供真正的状态检测Sｔateful Insｐeｃtion.

２．2 Ｃiｓｃo ＰIX防火墙安全之缺陷

尽管Ｃｉｓco也讲他的技术是状态检测，但是Ｃisｃo PIX 防火墙并不能够对所有支持的应用和服务提供状态安全机制。因此，他所能提供的安全是不完整的。例如, PＩＸ不能处理MicｒｏsoｆtＥxchange 服务的完整的状态和上下文信息,ＣＩSCＯ为了配置PIX能支持f MS Excｈange服务，Ｃisco 建议用户在要发MAＩL的外部HＯST上打开一定范围的端口(TCP 10２４到65５３5)，如果ＰIＸ要维护ﻫMS Exc ｈａｎge服务的状态，他将自动打开那些所需的应用和通讯会话的端口, Cｉsco对MSＥxｃhanｇe 的支持方式是违反安全惯例的:在防火墙上不加选择地打开一定范围的没有用的可被利用的漏洞。并且，PIX 不理解MＳExchange这种应用。由于不理解通讯的上下文，PIX防火墙不能够阻止夹杂在合法的MＳＥxｃｈanｇｅ数据中的可以数据包。对ＭＳＥｘchange的处理方式是CiscoＰIX 不能按照状态检测数

据包的一个简单例子。更多更全面的对比，祥见表１ﻫ．

2.3 NeｔScｒｅｅｎ防火墙安全之缺陷

NetScreen的状态检测的实现也是不完整的。NetＳcreen防火墙设备在对所有的应用执行安全策略时也不能够重组碎片fragmented TCＰ包,这就意味着在网络遭受HＴTP-drｉven攻击时会出现严重的安全问题。如果一个攻击(例如一个可疑的URL)被分片成多个数据包,ＮｅｔＳcreen防火墙不能检测到，也不能够阻断这个攻击。对包进行分片易如反掌，NetＳcreｅn防火墙这个缺陷使被他保护的网络很容易被很多知名的攻击手段所攻击。。ﻫ例如,对于红色代码Code Rｅd，如果一个可疑的URL ｓtring 被分片,并按多个包发送,这种攻击将穿越NｅtScreen防火墙而不被发现,一旦目的服务器收到后，这些恶意的包将被重新组装，最终导致服务器“缓冲区溢出” （更详细的内容见下面的“检测攻击和防护攻击”章节).ﻫ在所有应用和服务上的TCP包的重新组装是任何一个状态检测防火墙的最基本的要求。如果防火墙没有这个功能，或者丢弃合法连接的分片的包fｒａｇmeｎted paｃkets，或者允许夹杂有网络攻击的恶意分片进入网络。这两种情况的问题都是潜在的安全威胁。

2.4 状态检测处理的公共服务和协议

FireWall-1对应用的状态的了解深度体现了CＨEＣＫPOINT几年来对各种应用和各种协议的研究和分析的成果。这个功能的核心是“ＴＣP pａcketｒeassembly”ＴCＰ包的重新组装。ﻫ如果FｉreWaｌl－1 收到了分片的数据包之后,首先重新组装成原始格式,因此，对整个数据流,stｒeam of data的分析符合协议的定义deｆｉnitｉｏnｓ,以及包所承载的信息内容的合法性。

状态检测防火墙必须对各种应用有很大深度的理解才能实现完全的网络保护。

ＮeｔScreｅn 和Cisco 产品都不支持所有应用的“TCP packeｔreａｓsembly”

在表１中，对号表示应用或者协议的状态基于安全目的进行维护。

协议或应用CｈeckＰoｉｎt Ｃiｓco ＰIX NetScreen

FiｒeＷall-1

IＰSｅｃｕriｔy Prｏtocol（IＰSec) √√

DｏｍaiｎNaming Service (DNS) √ﻫInｔｅrnet Cｏntrol MeｓsagｅPｒotocoｌ(ICMP) √

Genｅｒａl PackeｔRadio Service Tｕnnｅliｎｇ

Pｒotocol （ＧTＰ）√ﻫSｅssｉon IniｔiatiｏｎProtocol（SＩP) √√不完整ﻫHP Open VieｗSerｖices √

SUN Remote Ｐｒocｅｄure Calｌ(RＰＣ）Serviｃｅs √

MicｒｏsofｔDistｒiｂuted Ｃomponeｎt ﻫObjecｔMｏｄel（ＤCOM) √ﻫMｉcｒosoｆｔExchange Serｖices √