從最簡(jiǎn)單的分組過(guò)濾防火墻到應(yīng)用層網(wǎng)關(guān)，自誕生之日開(kāi)始，防火墻日益承擔(dān)起越來(lái)越多的網(wǎng)絡(luò)安全角色，

防火墻:深度包檢測(cè)技術(shù)的演進(jìn)歷程和技術(shù)反思防火墻技術(shù)

。近年來(lái)，一項(xiàng)創(chuàng)新的防火墻技術(shù)正廣泛的獲得應(yīng)用，這就是被稱為深度包檢測(cè)的dip（deep packet inspection）技術(shù)。

    歷史回顧

    在深入了解深度包檢測(cè)技術(shù)之前，我們首先來(lái)回顧一下防火墻檢測(cè)技術(shù)發(fā)展的歷史。這些檢測(cè)技術(shù)并沒(méi)有隨著科技的前進(jìn)而消失。相反，正是以這些技術(shù)為基礎(chǔ)，才發(fā)展出了更多先進(jìn)的功能元素。

    最早出現(xiàn)并獲得廣泛應(yīng)用的分組過(guò)濾式防火墻可以被稱為第一代防火墻。最基本的分組過(guò)濾防火墻會(huì)根據(jù)第三層的參數(shù)（如源ip地址和目標(biāo)ip地址）檢查通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)包，再由內(nèi)建在防火墻中的分組過(guò)濾規(guī)則依據(jù)這些參數(shù)來(lái)確定哪些數(shù)據(jù)包被放行，哪些數(shù)據(jù)包被阻隔。之后又出現(xiàn)了應(yīng)用層網(wǎng)關(guān)防火墻，這種防火墻經(jīng)常被稱為基于代理服務(wù)器的防火墻，因?yàn)樗鼤?huì)代表各種網(wǎng)絡(luò)客戶端執(zhí)行應(yīng)用層連接，即提供代理服務(wù)。應(yīng)用層網(wǎng)關(guān)的工作方式與分組過(guò)濾技術(shù)有很大的不同，其所有訪問(wèn)都在應(yīng)用層（osi模型的第七層）中控制，并且也沒(méi)有任何網(wǎng)絡(luò)客戶端能直接與服務(wù)端進(jìn)行通信，如圖1所示。

   

    圖1 防火墻檢測(cè)原理

    而在目前，得到最廣泛應(yīng)用的主流過(guò)濾技術(shù)是狀態(tài)檢測(cè)（stateful inspection）。它的工作方式類似于分組過(guò)濾防火墻，只是采用了更復(fù)雜的訪問(wèn)控制算法。狀態(tài)檢測(cè)型防火墻和分組過(guò)濾防火墻實(shí)質(zhì)上都是通過(guò)控制決策來(lái)提供安全保護(hù)的，只是狀態(tài)檢測(cè)型防火墻除了可以利用第三層網(wǎng)絡(luò)參數(shù)執(zhí)行決策之外，還可以利用網(wǎng)絡(luò)連接及應(yīng)用服務(wù)的各種狀態(tài)來(lái)執(zhí)行決策。另外，所執(zhí)行的決策也不僅限于數(shù)據(jù)包的放行與阻隔，類似加密這樣的處理也可以作為一種控制決策被執(zhí)行，如圖2所示。

   

    圖2 狀態(tài)檢測(cè)

    狀態(tài)檢測(cè)型防火墻不僅可以根據(jù)第三層參數(shù)決定有關(guān)信息傳輸是放行還是拒絕，還能夠理解連接的當(dāng)前狀態(tài)（例如相關(guān)連接是處于建立階段還是數(shù)據(jù)傳輸階段）。防火墻處理的所有數(shù)據(jù)傳輸都會(huì)被傳送到一個(gè)狀態(tài)檢測(cè)引擎，其中匯集了相應(yīng)的訪問(wèn)規(guī)則。

    通過(guò)維護(hù)一個(gè)連接狀態(tài)表，標(biāo)識(shí)出通過(guò)防火墻的每條活動(dòng)連接以及與之關(guān)聯(lián)的第三層參數(shù)。如果連接狀態(tài)表中確實(shí)含有一條連接的記錄，狀態(tài)檢測(cè)引擎才允許該連接的返回信息通過(guò)。而且在連接建立之后，防火墻可以通過(guò)檢查tcp順序號(hào)這樣更高級(jí)的連接屬性，來(lái)驗(yàn)證相關(guān)的信息傳輸確實(shí)與基本的第三層參數(shù)匹配，是合法且沒(méi)有欺詐的。

    就狀態(tài)檢測(cè)型防火墻與應(yīng)用層網(wǎng)關(guān)相比較而言，由于狀態(tài)檢測(cè)引擎了解應(yīng)用層的情況，因此狀態(tài)檢測(cè)型防火墻所具有的安全保護(hù)水平與應(yīng)用層網(wǎng)關(guān)基本相同，且狀態(tài)檢測(cè)型防火墻更加靈活，比應(yīng)用層網(wǎng)關(guān)具有更好的擴(kuò)展能力。因?yàn)樗�可以在�?yīng)用程序一級(jí)保證通信的完整性，而不需要代表客戶機(jī)/服務(wù)器在連接的兩端對(duì)所有連接進(jìn)行代理處理。所以說(shuō)，利用狀態(tài)檢測(cè)技術(shù)設(shè)計(jì)的防火墻既提供了分組過(guò)濾防火墻的處理速度和靈活性，又兼具應(yīng)用層網(wǎng)關(guān)理解應(yīng)用程序狀態(tài)的能力與高度的安全性。

    深度包檢測(cè)技術(shù)綜述

    通常，深度包檢測(cè)技術(shù)深入檢查通過(guò)防火墻的每個(gè)數(shù)據(jù)包及其應(yīng)用載荷。雖然只檢測(cè)包頭部分是一種更加經(jīng)濟(jì)的方式，但是很多惡意行為可能隱藏在數(shù)據(jù)載荷中，通過(guò)防御邊界在安全體系內(nèi)部產(chǎn)生嚴(yán)重的危害。因?yàn)閿?shù)據(jù)載荷中可能充斥著垃圾郵件、廣告視頻以及企業(yè)所不欣賞的p2p傳輸，而各種電子商務(wù)程序的html和xml格式數(shù)據(jù)中也可能夾帶著后門和木馬程序在網(wǎng)絡(luò)節(jié)點(diǎn)之間交換，

電腦資料

《防火墻:深度包檢測(cè)技術(shù)的演進(jìn)歷程和技術(shù)反思防火墻技術(shù)》(http://www.oriental01.com)。所以，在應(yīng)用形式及其格式以爆炸速度增長(zhǎng)的今天，僅僅依照數(shù)據(jù)包的第三層信息決定其是否準(zhǔn)入，實(shí)在無(wú)法滿足安全的要求。

    深度包檢測(cè)引擎以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測(cè)以及統(tǒng)計(jì)學(xué)分析等技術(shù)的規(guī)則集，決定如何處理數(shù)據(jù)包。舉例來(lái)說(shuō)，檢測(cè)引擎將數(shù)據(jù)包載

    關(guān) 鍵 字：防火墻

    相關(guān)文章：

    Windows腳本系列之二——使用腳本關(guān)閉windows防火墻

    天網(wǎng)防火墻配置詳解

    配置好防火墻是網(wǎng)絡(luò)安全的關(guān)鍵

    防火墻在網(wǎng)絡(luò)中的功能和作用

    安全網(wǎng)絡(luò)防火墻的十二個(gè)注意事項(xiàng)

    荷中的數(shù)據(jù)與預(yù)先定義的攻擊指紋進(jìn)行對(duì)比，以判定數(shù)據(jù)傳輸中是否含有惡意攻擊行為，同時(shí)引擎利用已有的統(tǒng)計(jì)學(xué)數(shù)據(jù)執(zhí)行模式匹配，輔助這種判斷的執(zhí)行。利用深度包檢測(cè)技術(shù)可以更有效的辨識(shí)和防護(hù)緩沖區(qū)溢出攻擊、拒絕服務(wù)攻擊、各種欺騙性技術(shù)以及類似尼姆達(dá)這樣的蠕蟲病毒。從本質(zhì)上來(lái)講，深度包檢測(cè)將入侵檢測(cè)（ids）功能融入防火墻當(dāng)中，從而使我們有條件創(chuàng)建一種一體化的安全設(shè)備，如圖3所示。

   

    圖3 深度包檢測(cè)

    近來(lái)，可編程asic技術(shù)的發(fā)展以及更有效的規(guī)則算法的出現(xiàn)，大大增強(qiáng)了深度包檢測(cè)引擎的執(zhí)行能力，讓這項(xiàng)技術(shù)在性能方面的壓力得到了緩解。而將防火墻與入侵檢測(cè)系統(tǒng)的功能封裝在單個(gè)設(shè)備中也可以使得管理方面的負(fù)擔(dān)得到減輕，所以應(yīng)用了深度包檢測(cè)技術(shù)的產(chǎn)品受到了相當(dāng)一部分管理員的好評(píng)。一些主要的防火墻供應(yīng)商，包括checkpoint、cisco、netscreen、symantec，都在不斷增加其防火墻產(chǎn)品中的應(yīng)用數(shù)據(jù)分析功能。

    反思

    我們?cè)跒樯疃劝鼨z測(cè)技術(shù)感到鼓舞的同時(shí)，也不能忘記這個(gè)世界上并不存在完美的技術(shù)�，F(xiàn)在應(yīng)用深度包檢測(cè)的產(chǎn)品通常都是一體化的安全設(shè)備，相比之下，傳統(tǒng)防火墻和入侵檢測(cè)產(chǎn)品的一個(gè)重要優(yōu)勢(shì)在于不會(huì)因?yàn)閱蝹�(gè)安全組件的癱瘓導(dǎo)致整個(gè)網(wǎng)絡(luò)處于無(wú)保護(hù)狀態(tài)。同時(shí)如果將越多的功能集中在單一設(shè)備中，我們就越把自己限制于單個(gè)產(chǎn)品供應(yīng)商。

    這些可能會(huì)使我們?cè)诤艽蟪潭壬蠁适ъ`活性。對(duì)于具有高度動(dòng)態(tài)性特征的安全事務(wù)，這可不是個(gè)可以忽視的問(wèn)題。另外，我們的安全陣線已經(jīng)處于一種非常復(fù)雜的境地，在我們的安全邊界，已經(jīng)充斥著各種傳統(tǒng)的防火墻和入侵檢測(cè)設(shè)備以及各種honeypot產(chǎn)品，深度包檢測(cè)技術(shù)的融合能夠真正降低這種復(fù)雜性還是更進(jìn)一步惡化現(xiàn)狀，還需要我們認(rèn)真面對(duì)。

    最后，盡管目前深度包檢測(cè)技術(shù)的性能獲得了可觀的提升，但是在同等硬件條件下，檢測(cè)內(nèi)容多的任務(wù)必定要比檢測(cè)內(nèi)容少的任務(wù)耗費(fèi)時(shí)間，所以相對(duì)于只檢測(cè)包頭的傳統(tǒng)檢測(cè)技術(shù)，深入包檢測(cè)技術(shù)的應(yīng)用應(yīng)該更有目的性，而不應(yīng)該被當(dāng)作一種“萬(wàn)靈藥”。

    關(guān) 鍵 字：防火墻

    相關(guān)文章：

    Windows腳本系列之二——使用腳本關(guān)閉windows防火墻

    天網(wǎng)防火墻配置詳解

    配置好防火墻是網(wǎng)絡(luò)安全的關(guān)鍵

    防火墻在網(wǎng)絡(luò)中的功能和作用

    安全網(wǎng)絡(luò)防火墻的十二個(gè)注意事項(xiàng)