|
从上面的防火墙的概念我们可以看出,防火墙的主要工作就是进行访问控制,那么同样条件下,访问控制的处理速度越快,那么防火墙的性能自然就愈好。 同时,另外一方面,一般来说,某个数据包被拒绝,往往是与访问控制列的acl逐条比较,如果前面的acl不符合,那么在访问控制列的最后部分才会被拒绝。如果系统性能较差,这会是个非常耗费资源和性能的工作。 Netscreen在实现SPF时,通过在ASIC硬件而非cpu上进行访问控制的策略的比较,显著的提升了速度。在netscreen的白页上,介绍它的防火墙可以以线速处理4万条以上的访问控制规则,这个结果是令人非常满意的。这也是netscreen在实现SPF中最为闪光的一部分。 Checkpoint的工作方式主要基于SPI,SPI是工作在SPF之上的,它在提供SPF的功能基础上,增加了对数据包内容(高层)的分析功能。这对管理员对网络的安全控制能力无疑增进了一大步,同时,也是非常实用的一个功能,对一个有经验的管理员来说,利用SPI可以大大地减小网络的安全管理工作。 一个很简单的例子:一家企业分布在各地机构的局域网需要对外开放snmp管理功能,常见的防火墙一般也就是放开tcp/udp 161和162端口,无法再做更多的控制了,但是利用SPI,管理员就可以控制仅仅对外开放snmp的get功能,不允许set动作,这就极大的减少了snmp端口开放的危害性。又比如,利用SPI,管理员可以强制通过80端口的数据包必须是真实的http数据,而不是流或者即时通讯工具。
我们知道代理型防火墙同样能够提供高层访问控制,但是代理型防火墙工作在高层,他们在处理client和server的连接时,作为“二传手“来分析解释和控制数据包,每个client到server的连接被截获,演变成client到代理,代理到server,server到代理,再从代理到client的通讯形式。这就增大了延迟,同时对每种类型的通讯都需要高层的分析解释能力的单独的软件来做,局限较大。 而checkpoint的数据包处理引擎INSPECT工作在网络层和数据链路层之间,他们并不打断client和server端的连接。由于工作在最低端,进出端口的所有的数据包都会被核查,只有符合INSPECT引擎审核通过的数据包才能向高层发送。 INSPCET引擎使用可定制的INSCPET语言来理解和分析需要关心的数据包内容,并实现对数据包的动态控制。由于INSCPET语言的对象是整个原始的数据包,因此就在SPF的基础上增加了高层的控制,如:不仅向SFP那样可以对底层的ip地址限制,还可以控制到高层内容,如限制邮件的content-type。同时,管理员可以从checkpoint站点上不断取得新的INSCPET代码,从而增加对应用的扩充。 2003年5月13日,checkpoint又宣称推出近年来功能上重大的升级,即所谓的Application Integlligence,该升级主要的卖点就在于宣称能够检测和防止应用层的网络攻击。 我们知道,随着网络技术的不断发展,网络攻击行为已经逐步向高层转移,利用操作系统和网络设备本身安全问题入侵和攻击的浪潮已经逐步降低,人们越来越将攻击的目标转向高层的应用,相信这以后会是网络安全攻防的趋势。关于这方面的内容,各位可以参考OWASPWebApplicationSecurityTopTen这篇文档http://www.owasp.org/ 需要使用代理)
本人对这一技术非常感兴趣,仔细的研究了一下checkpoint公布的相关文档,关于Application Integlligence的功能,主要有以下四点: 1:确认网络通讯符合相关的协议标准,比如:不允许http头出现二进制数据内容。 2:确认网络通讯没有滥用相关的协议标准,比如:不允许P2P通讯利用80口穿过防火墙。 3:限制应用程序携带恶意数据,比如:控制跨站脚本 4:控制对应用程序的操作,比如上面我们举的snmp例子。 仔细的分析上面的内容,个人理解对checkpoint而言,其实Application Integlligence也不能算是非常新的技术,可能只是在SPI基础上的升级和进一步扩充。 此外关于checkpoint需要注意一点的是,checkpoint数据包处理引擎INSPECT对高层的数据包核查并不象想象的那样支持非常多的应用,而是将主要精力放在了常用的http,ftp,mail等一些比较普遍的应用上,也即,不是所有的高层的所有数据包都会被INSPECT审核,使用者不要迷信checkpoint宣称的INSPECT技术,我们可以看下面的例子: 这里是checkpoint在sql slammer蠕虫蔓延时的一个扩展的INSPECT CODE,
上一篇:文件管理器TC常用快捷键一览
下一篇:新MSN Shell可让MSN Messenger用户同时登录QQ
|
精品推荐