| 出版日期:2003-11-10 总期号:1265 本年期号:84 |
|
 |
硬的速度快
张志斌 应用级防火墙是指在数据包处理流程里,不只处理网络层的数据信息,而且还可以处理应用层的信息。它的实现看上去很简单,但由于应用级功能对性能的影响很大,如果不能从系统体系上进行设计或优化,将很难实现商用。 最近,防火墙厂商已经推出了一些应用级防火墙,有的是基于软件实现的应用级防火墙,如Check Point公司和中网等,有的是基于硬件实现的防火墙,如联想和Fortinet等,虽然它们都给用户提供了应用级的功能,但是它们在实现的技术和实现的功能上却不相同,差别很大。采用软件技术实现的应用级防火墙可扩展性强,较为灵活,但性能保证起来较为困难;采用硬件技术实现的应用级防火墙性能较好,但在扩展性和灵活性上有所欠缺。充分利用软件技术和硬件技术的长处,实现软件技术和硬件技术的无缝结合,将是应用级防火墙技术未来发展的趋势。 基于硬件实现的应用级防火墙是指在专门的硬件平台,如ASIC、NP上实现的应用级防火墙。此类防火墙一部分应用层的处理是通过硬件来实现,大大提高了处理的速度,但处理的灵活性是它面临的主要难题。 联想公司最近推出了基于NP硬件平台的入侵检测过滤技术。NP技术相当于“可编程”的ASIC技术,它可以提供强大的包过滤引擎。联想的入侵检测过滤技术,就是基于该过滤引擎上执行“数据重组”和“入侵过滤”的工作。首先,通过数据重组技术,攻击者恶意伪造的、企图扰乱视线的异常数据包将被防火墙丢弃,重组后的数据流被送往入侵过滤模块进行下一步检测。然后,在入侵过滤方面,它采用了多种检测攻击的方法,包括:协议解码分析、异常流量检测和入侵特征匹配。这三种方法分别是:对常见的网络协议如HTTP协议、FTP协议、TELNET协议等等进行深入解码分析;对于网络中的异常流量进行基于阈值的检测,可以防范大量数据包的泛滥式攻击;在网络通信中查找已知入侵特征,如果匹配则认为有攻击发生。由于入侵过滤模块所得到的输入数据包都是经过状态包过滤机制和数据重组机制处理过的,所以入侵特征匹配不是简单的单包检测,而是状态包检测,可检测跨越包边界的攻击特征或者顺序被打乱的数据流中的攻击特征。该技术由于使用硬件加速技术进行数据重组及深层数据包分析处理,能高效、准确地检测和预防已知、未知的攻击及DoS攻击,及时丢弃攻击数据包。 深层监测技术是NetScreen新近推出的技术。该技术运用状态签名和协议异常两种攻击检测机制来阻止攻击。它首先将应用层信息从流量里提取出来,通过流量重建和消除含糊性两个步骤来对信息进行精确解读;然后运用状态签名和协议异常检测机制去判断是否有攻击。运用这两种机制能有效区分合法流量和真正的攻击,由于更精确,误报率大大降低。为了针对用户的需要和网络环境,NetScreen的深层监测防火墙可以按个别策略和功能进行启动或关闭,这个选择性的启动功能使NetScreen深层监测防火墙能按用户的需要部署。而且将性能调整的影响减低。NetScreen深层监测防火墙采用专用设计的ASIC和定制式实时操作系统ScreenOS,因此对用户能提供更高的性能保证。NetScreen深层监测防火墙能对主要的基于互联网业务,如Web、email和文件交换以及DNS进行保护。它支持的协议有HTTP、SMTP、IMAP、POP、FTP、DNS等,能提供对250种以上的应用层攻击和协议异常的保护。 Fortinet公司的应用层防毒技术,是基于其ASIC硬件防火墙,采用了行为加速处理和内容分析系统技术。行为加速处理采用了双层扫描技术,一部分固化在ASIC芯片中,一部分通过网络程序用智能语言进行处理,既保证了处理的速度,又保证了处理的灵活性,可以对变化较快的网络病毒更加迅速准确地响应。内容分析技术是指由于采用了多个队列对数据进行处理,可以在保证处理速度的前提下,正确的处理数据的关联信息。他们的病毒数据库由著名防毒专家Joe Wells领导的专门防病毒小组完成,可以支持手工升级,在线升级,和PUSH技术(用户在Fortinet公司登记,由Fortinet公司对用户系统通过互联网及时更新)。而且它还有Web内容过滤功能, 通过与Cerberian过滤数据库的连线,可以及时过滤各种色情和恶意网站。 |
||||||||||||||||||||||||||
