| 出版日期:2003-11-10 总期号:1265 本年期号:84 |
|
 |
挡住应用层 的破坏
张志斌 编者按: 目前, 拒绝服务(DoS)攻击、垃圾邮件和病毒传播日益猖獗,导致用户对防火墙的要求越来越高,不但希望防火墙能有更高的性能,还要有更多的功能,以提供更加全面的访问控制;另一方面,防火墙技术经历了长时期的发展后,技术较为成熟,差异逐渐减小, 因此,现有防火墙厂商需要技术的突破,以便更好地满足用户,保证在市场竞争中领先,应用级防火墙应运而生…… 应用级防火墙是指那些采用了应用层访问控制技术的防火墙,它可以在保证性能的前提下,更精确、更准确地定义访问策略,更好地保障网络安全。由于它能有效地满足用户的需求,被认为是防火墙未来发展的趋势。 传统防火墙成为瓶颈 “我最近比较忙,忙着帮用户杀毒,现在的网络病毒太多了。”某网络中心的马先生说,“病毒传播比以前快多了,只要一个用户感染了,就开始向网络的其他用户发送,导致网络速度变慢,我们有些服务器也感染了,我们的工作受到很大影响。虽然我们要求每个用户安装杀毒软件,但有的用户不太注意升级,很容易被新病毒感染。以前,我们为保证网络的安全,安装了防火墙,但没有办法阻挡病毒的传播。现在意识到防火墙最好具有防病毒的功能。” 防火墙作为我们网络安全体系中重要的一环,起着一个网络屏障的作用。但由于防火墙不是将所有流量断掉,还要保证合法的流量通过,这就存在着被攻击的机会。防火墙就好像我们穿的外套,保护我们的身体免受外界的侵害,但我们还要从外界呼吸进空气,这样,很多有害的细菌就随着空气通过我们的呼吸进入了身体。现在很多通过网络传播的病毒,如蠕虫病毒、邮件病毒等,就像这些细菌一样,随着合法的应用层协议攻入我们的系统。由于传统的防火墙只能在网络层进行访问控制,对这些应用层协议无法分析,因而对于隐藏在合法应用协议里的病毒却无能为力。 互联网应用给企业的管理和业务发展提供了多种便利,但网络内容的庞杂性和多样性,给企业带来新的挑战, 员工可能花大量的时间去做与工作无关的事情,影响公司的正常网络业务。为了保证企业的资源得到有效地利用,很多企业希望对员工上网行为进行管理,比如限制访问的网页、网站和目录。来自某家有着100多名员工企业的网管员许先生说:“我们企业主要从事软件开发,软件技术人员较多,他们很喜欢从网上下载一些软件,有时下载的人过多就会导致网速减慢,而且有些员工上班时间浏览与工作无关的网站,上网聊天,也很影响工作效率,但由于我们很多时候还要通过互联网查找资料,所以还要保证与互联网的连通。现在我们与互联网是通过防火墙连接的,我们很希望防火墙能进行基于网页内容的访问控制。” 因此, 防火墙作为连接内网和外网的网络设备是进行这项工作的极佳选择,然而传统的防火墙因为没有对数据包的HTTP协议进行解析,无法完成该项功能。 除了防火墙以外,我们还有IDS和防毒软件等网络安全产品,但如何将这些安全产品配合协调,形成一个完整的安全体系一直困扰着网络管理员们,不合理的安全产品搭配甚至可能出现“1+1<1”的现象。 应用级防火墙优势明显 应用级防火墙不但对数据包进行网络层的解析,还对数据包进行基于应用层协议(如HTTP、SMTP和POP3等)的解析,所以它可以清楚地知道每个数据包在各个数据位上的含义。正是因为这点,应用级防火墙可以实现很多传统防火墙无法实现的功能。 “防火墙经历了几个发展阶段,但还存在一些无法解决的问题,如DoS攻击、病毒传播、垃圾邮件等,人们希望防火墙变得越来越聪明,它能像人一样能判断出哪些数据包是合法的,哪些是不合法的。而传统的防火墙由于工作在网络层,不能很好地判断基于应用层的攻击,但应用级防火墙却可以做到这点。” 中网公司的万平国董事长说。 根据FBI前20种最关键的互联网薄弱环节清单显示,超出一半以上的薄弱环节是与应用程序有关,而且黑客已开发了专门针对应用程序的攻击手段,例如红色代码和尼姆达病毒。传统的防火墙大多数都支持网络层的访问控制功能,但是现在随着网络攻击等增多和蠕虫病毒的泛滥,人们意识到传统防火墙的功能是不够的。面对这些新型攻击,防火墙不仅需要提供网络层面的访问控制,还要提供对应用层行为进行检测的技术。同时,很多企业也希望通过防火墙控制员工访问与工作无关的网站。应用级防火墙可以很好地满足用户的以上这些需求。 首先,应用级防火墙可以实现防病毒功能。现在的网络病毒很多是通过邮件传播的,传统的防火墙因为只能根据地址、端口号和协议进行判断,无法判断邮件内容是否含有病毒,而应用级防火墙可以根据邮件发送和接收的协议对相应的数据包进行解析,所以它可以判断出哪部分是邮件标题,哪部分是邮件内容,并据此辨别出病毒,及时阻挡病毒,防止病毒的蔓延。 其次,应用级防火墙可以实现入侵检测功能。很多的攻击是利用应用程序进行的,如Web服务器的漏洞,而这些攻击有些是利用合法的协议,在合法的协议里包含一些攻击的数据,传统的防火墙对此无能为力;而应用级防火墙可以根据相应的协议对数据包进行解析,弄清楚每个协议数据包里的内容,所以可以发现这些攻击。 第三,应用级防火墙可以实现内容过滤功能。有些企业希望对员工上网的行为进行管理,但由于各种网站的内容差别只有对HTTP协议进行分析才能知道,应用级防火墙对这种HTTP应用协议能很好地进行分析,正确判断每个网页的内容,帮助企业进行上网行为管理。 总之,将入侵检测和防毒功能集成于一身的应用级防火墙与单独的IDS和防病毒产品相比,不但可以及时对攻击和病毒进行响应,实现单独的IDS和防病毒产品无法完成的直接阻断,而且还简化了用户的管理,用户只需配置一台设备即可,不用担心各种安全产品的配合问题。 应用级防火墙市场巨大 正是意识到了应用级防火墙的市场潜力,最近,国内外的防火墙厂商相继推出了应用级防火墙产品。例如,CheckPoint公司推出了应用智能防火墙,NetScreen推出了集成了IDP技术的深层检测防火墙,国内的联想也推出了数据包内容过滤的防火墙。中网公司推出了基于智能访问控制技术的防火墙,虽然它们采用的技术不完全相同,有的是利用优化的算法,有的是利用硬件平台的处理,但它们都给用户提供了应用层访问控制的强大功能。 Check Point公司的产品经理沈江介绍说,现在Check Point推出了应用智能技术,并不是说Check Point认为防火墙将会取代IDS,IDS在某些方面还是有独特的用途,如防内网的攻击等。Check Point推出这项集成在防火墙中的技术,是因为他们认为它可以给用户带来更全面的防范。东软的网络安全事业部业务总监王虎认为:“防火墙作为网络中的重要安全设备,人们希望它能集成尽可能多的安全功能于一身,这样用户将更加方便”。 应用级防火墙的许多优点使得它成为未来防火墙发展的趋势,在未来,它会使我们的网络防范更加严密,同时由于它使防火墙在网络安全中的作用得到加强,给了防火墙厂商更多的市场机会。 |
||||||||||||||||||||||||||
