【51CTO.com 综合消息】何为绍WatchGuard 智能分层安全体系结构的概念?该分布式系统智能所能带来的更好的安全性,本文章将详细为您解答,让我们来看看ILS 中的每一个安全层在作些什么。
第一层 —— 外部安全服务
为了保证网络运行高效,在帮助管理员正确配置防火墙和相关系统的同时,补充网络的一些外部安全服务是必须的,例如漏洞分析和桌面防毒系统等。在WatchGuard 的模型中,这个概念就表现为一个在防火墙外面工作的安全层,其完成了防火墙必须完成的一些网络功能。外部安全服务更强调预防,它可以同其他分层有效地、安全地协同工作以达到最理想的效果。对于管理员来说,整个网络就成为了一个单一的实体,可以更安全、更简单的管理。
第二层 —— 数据完整性
数据完整性层是Firebox 的第一道防线。它会效验进入设备的数据,确保其遵守数据包协议规范。所有的网络通讯都必须经过这个层。这是一个最佳地拦截攻击的位置。而且对于数据流的处理也相当快速,因为只有两个结果通过或阻断。例如,这个数据包是否符合RFC标准?包头信息是否超过了标准规定的长度?如果是,数据包将被直接丢弃。这一层的主要职责是:
◆ 数据流标准化
通过IP 效验保护你的网络,阻止任何畸形的TCP/IP 数据流流进入下一层;利用WatchGuard 专利的反攻击机制,发现并阻挡DoS、DDoS 和分片重组攻击,保证正确的数据流顺利通过并进入下一层;例如防御IPSec、IKE、ICMP、UDP、SYN flood 攻击等等;发现并拦截一下通讯:端口扫描、地址扫描、欺骗攻击。
对数据流标准化检测和对已知攻击的拦截可以改善整体系统的性能,因为ILS 能够快速地处理这一层的数据,并保证后续其他层仅接收到正确的、合法的数据包。
第三层 —— 虚拟专网(VPN)
一旦数据流被确认为有效的、标准的,ILS 接下来确认该数据流是否为来自一个已知VPN连接点的加密流。如果是,VPN 层将对数据流解密并向下一层传输;如果该数据流是由未知的密钥加密的,那么该通讯被阻断。如果数据流不是加密的或不是来自一个已知VPN 连接点的,那么VPN 层将不作任何处理,数据流将被传递到下一层。VPN 层支持PPTP 和IPSec 协议,并可以组建移动用户VPN 和分支机构间VPN 通讯。
通过正确的VPN 配置,你可以通过Internet,对外出的私有数据进行安全地加密传输。
第四层 —— 状态检测防火墙
在这一层,管理员可以根据源IP 地址、目的IP 地址和通讯端口来设定数据流是否可以通过防火墙。ILS 的NAT 功能也在这一层得以执行。
虽然很多种类的攻击手段都依靠使用畸形包来获得目的主机的响应信息,但是个别遵守全部RFC 标准的包依然会含有恶意企图。例如,一个黑客获取了用户网络信息,那么他就可能会尝试发送一个含有“Reply”标记的包进入用户网络,这样就伪装成了一个来自被访问的目的服务器响应包。对于一台非状态检测设备来说,虽然也检测2 层以上信息,但会认为这就是来自目的服务器的响应而允许其进入用户网络。然而一台状态检测设备就会知道,从来没有向黑客的IP 地址发送过“请求”数据包,同时在内部没有发出“请求”时,也不允许一个“响应”包通过并进入网络,这样,状态检测设备就会丢弃那个伪装的“响应”包。
ILS 在这一层提供了这样的状态保护,并且进一步地提高了其功能。状态防火墙层会跟踪所有会话的端口和协议信息,并为这些会话建立状态表。当发现一个攻击行为时,同时会触发攻击躲避机制。通过这些,ILS 可以击败有目的性的攻击,并且还可以避免由同一攻击源重复攻击所引起的防火墙负载升高。
第五层 —— 深度应用检测
通过了状态检测防火墙层的数据流被传递到深度应用检测层,在这里ILS 将判断该数据流是否“适合使用”。如果不需要进一步检测,那么数据流将被直接转发以达到最佳性能。在深度应用检测层,TCP 连接被终止了,并且在防火墙两侧重新建立新的连接。发出的数据包将被重新格式化以防止攻击出现。
深度应用检测层可以发现、管理、防止或阻断:协议异常、缓冲区溢出、未授权连接、TCP 劫持、网络信息泄露;基于MIME 类型或模式的有害附件、病毒、蠕虫等(如*.bat, *.cmd, *.com,*.exe, *.hta, *.inf, *.pif, *.scr, *.wsh 等)、使用潜在的危险命令;
在前面“更强大的安全 —— 智能分层安全如何工作”一节中,我们看到深度应用检测层防御攻击的核心机制,它们是:协议异常分析(PAD);模式匹配;命令限制;伪装;过滤/拦截信息头;
基于精确标准定义和策略判断,深度应用检测层可以提供零日威胁防御来应对更广泛的攻击类型,而且可以有效地减少误报率。下面让我们来看看ILS 如何在HTTP、SMTP、FTP、DNS 和TCP 这些核心应用协议上作精细的控制。
◆ HTTP Client
HTTP Client 协议处理器可以很好地控制什么样的信息流可以到达用户的浏览器或其它HTTP 客户端。管理员可以做到:拦截那些不严格遵守HTTP 协议RFC 标准的数据流;比如QQ 在使用TCP80 端口通讯时,因为没有采用HTTP 协议标准,所以会被HTTP Client 协议处理器自动拦截;很多在线视频软件也使用TCP 80 端口以示图逃过防火墙策略控制,但传输的内容因为没有遵守HTTP 协议标准,同样也会被HTTP Client 协议处理器自动拦截;
利用模式匹配,检测病毒、蠕虫、木马等有害信息;可以删除或阻挡Cookie、Applet、ActiveX 及未知的HTTP 头信息;限制HTTP 请求的方法;控制HTTP 的命令;隐藏服务器信息;控制认证方法;限制请求和访问头类型,来防止畸形或未知的头类型;控制附件类型; URL 地址控制;转发数据流到IPS 模块; 调用ILS 自动拦截机制,减少处理同一攻击源所消耗的负载;
◆ HTTP Server
HTTP Server 协议处理器可以很好地控制什么样的信息流可以到达用户的Web 服务器。它所能控制的内容与HTTP Client 处理器是类似的,当然也有一些差异。
◆ SMTP Incoming 或 Outgoing
我们所看到的大量破坏性攻击都是混合型攻击,例如蠕虫使用多重感染和繁殖的方法大量传播,大多数蠕虫选择使用SMTP(或者说是邮件服务器)作为其传播的载体。WatchGuard 的SMTP 协议处理器可以阻挡:存在潜在危险的邮件附件;不合法的SMTP 命令;协议异常;SMTP 协议处理器可以将发送畸形数据流的站点自动添加到拦截黑名单中,因此SMTP 协议处理器可以非常有效地对付这类攻击。管理员在使用SMTP 协议处理器可以做到:拦截那些不严格遵守SMTP 协议RFC 标准的数据流;利用模式匹配,过滤附件名及MIME 类型;限制SMTP 命令及参数的使用;伪装服务器信息;控制允许或不允许的邮件头信息;控制邮件大小;限制最大收件人数量;限制邮件地址长度;控制bat/CHUNKING、ETRN 和8-bit 或Binary MIME 在ESMTP 中的使用;控制ESMTP 认证类型;控制SMTP 问候语的长度;SMTP 转发保护;源、目的邮件地址黑白名单;转发数据流到防病毒模块;转发数据流到IPS 模块;调用ILS 自动拦截机制,减少处理同一攻击源所消耗的负载;
◆ FTP
WatchGuard 的FTP 协议处理器可以帮助管理员管理FTP 服务器,有效地控制FTP资源的使用: 拦截那些不严格遵守FTP 协议RFC 标准的数据流;强制会话超时;限制FTP 命令及参数的使用;伪装服务器信息;限制如用户名、口令、命令行、文件名的长度;限制可以下载的文件类型;控制上传文件及其路径;转发数据流到防病毒模块;转发数据流到IPS 模块;调用ILS 自动拦截机制,减少处理同一攻击源所消耗的负载;
◆ DNS
一些黑客工具可以利用DNS 查询和应答来获得你的DNS 服务器管理权,从而可以进一步控制那些使用这台DNS 服务器的用户。这类攻击使用畸形的DNS 请求包来传递恶意代码。WatchGuard 的DNS 协议处理器可以检测DNS 请求的头部信息,并且可以阻断那些可疑的内容。DNS 协议处理器可以做到:拦截那些不严格遵守DNS 协议RFC 标准的数据流;伪装服务器信息;DNS 包头检测,丢弃那些不正确的部分;控制DNS 代码、查询类型和查询名称;转发数据流到IPS 模块;调用ILS 自动拦截机制,减少处理同一攻击源所消耗的负载;
◆ TCP
TCP 协议处理器主要完成在防火墙两侧重新建立TCP 连接的过程。这就意味着,数据包被重新规范化并且得到了整合。这样就可以更好地发现攻击行为。TCP 协议处理器同时还可以处理使用非标准端口的HTTP 协议通讯,处理机制与HTTP 协议处理器一样。
◆ IM 和P2P 拦截
WatchGuard 的TCP/TCP-UDP 协议处理器可以有选择地拦截IM 服务,例如AIM、Yahoo、IRC 和MSN Messenger 等。这就可以防止基于IM 的安全威胁。例如很多攻击者可以利用IM 通讯来控制你的PC,或者通过IM 通讯传播有害文件。
同样,我们也可以有选择地拦截P2P 服务,例如Napster、GNUtella、Kazaa、Morpheus、BitTorrent、eDonkey2000、Phatbot 等等。P2P 应用会大量占用有限的网络带宽;同时也是传播间谍软件的途径。WatchGuard 可以很好地控制P2P 的通讯。
第六层 —— 内容安全
内容安全层很有针对性地对一些协议数据流作更深一步的检测。在这一层里,对用户来说安全服务都是可选项目,这包括网关防病毒服务、入侵防御服务、反垃圾邮件和URL 分类过滤。