防火墙是防御网络入侵者的最有效机制,阻挡基于网络的攻击的功能也日益完善。防火墙的发展阶段包括访问控制列表、应用代理服务、状态检测三个阶段。访问控制列表――路由器和网关基于来源和目标IP地址以及连接所用协议作出决策。每种协议与不同的端口号相关联,譬如端口80用于HTTP,端口110用于邮局协议(POP)。除了用于Web访问的HTTP和用于电子邮件的简单邮件传输协议(SMTP)等标准协议外,许多网关阻挡其它各种访问。
应用代理服务――应用代理防火墙是一种应用软件,在网络和代理服务器之间的服务器上运行,譬如代理Web服务器的HTTP防火墙。从外面来看,代理防火墙所运行的HTTP服务器如同目标服务器;从里面来看,它又如同提出请求的客户浏览器。这种“中间服务器”为安全管理员提供了对接受或阻挡哪种流量确定规则的机会。健壮的应用代理防火墙需要运行它所防御的每种应用的实例,包括Web服务器、数据库服务、IRC、FTP、Telnet、电子邮件、Morpheus及企业的定制应用。应用代理服务在防火墙市场未能获得成功是因为需要处理众多的应用。此外,调用应用会大大增加时延,因而无法实现线速网络处理。将来,企业多半不再使用基于软件的应用代理防火墙。
状态检测――网关防火墙面临的其中一个挑战就是吞吐量。开发状态检测功能是为了让规则能够运用到会话发起过程,从而提高吞吐量。状态检测防火墙查看包头后,根据规则集作出决定。阻挡或允许访问的决定适用于该会话后来的所有包(会话则由来源、目标地址、协议和时间因素确定)。状态检测防火墙是一种包处理器,这种网络设备能够扩展,以适应因特网数据中心及某些企业所需的千兆速率。然而,应用防御需要识别有效载荷内容的更强功能及线速检测功能。Web服务将需要高速分析XML及简单对象访问协议(SOAP)对象。对这种应用实施安全策略就需要全面检测包有效载荷的功能。状态防火墙技术唯有不断发展才能满足这种新需求。
深度包检测将成为防火墙发展的下一个阶段。近期最具破坏性的网络攻击如红色代码和尼姆达都利用了应用存在的漏洞,这加大了对应用防火墙的需求。说到保护系统免受类似尼姆达的攻击,众多的应用代理收效甚微。将来,只依靠代理或状态包检测防火墙的企业遭到应用层攻击破坏的机率两倍于采用先进的深度包检测防火墙方案的企业。
Gartner认为,代理系统对阻挡将来的攻击并非至关重要。将来防火墙需要更加深入监控信息包流,查出恶意行为,并加以阻挡。市场上的包检测解决方案必须增添功能(如特征检测)寻找已知攻击,并知道什么是“正常”流量(基于行为的系统),以及阻挡协议的异常行为。
最近防火墙厂商的动态表明,防火墙的这个发展阶段已经到来。譬如说,Check Point的SmartDefense使Firewall-1能够查找常见攻击,并丢弃与之有关的会话。NetScreen收购OneSecure后,把深度包检测功能集成到了其应用特定的集成电路防火墙设备。TippingPoint、NetContinuum、Fortinet和iPolicy等新兴厂商也在利用分析包有效载荷以实施安全规则的功能。
Web服务将迫使边界防御机制提高识别允许哪类流量以代码如SOAP元素或控制消息如XML语句等形式通过端口80访问网络的能力。防火墙厂商就要提供能控制这种流量的解决方案。
新闻热点
疑难解答