防火墙/IDS/IPS/应用防火墙安全防御层面

zhoujinquan12

　　每天看新闻，经常能看到某某网站被黑客攻击，页面被改的面目全非，客户资料被窃取的报道。的确，网络上的黑客是越来越猖獗了，不管是防卫森严的大网站，还是在虚拟主机上运行的小网站，黑客们似乎总能找到这样那样的漏洞，钻进去捣乱一番。
　　“明明已经安装了防火墙，为什么还是被‘黑’了呢?”经常听到网站管理员有这样的疑问。其实关键就在于，管理员们安装的这些防火墙，全称应该叫网络防火墙，工作在ISO模型的网络层以下。它的工作原理，就是阻挡其它的访问，只允许对80端口HTTP应用的访问通过，而互联网上的攻击，大多数针对的恰恰就是80端口HTTP协议，也就是对web应用层的攻击。据Gartner调查显示，互联网上现在有75%的攻击都是针对Web应用层发起的，如此一来，网络防火墙当然就只能望洋兴叹，无能为力了。所以早在2002年，IDC就曾在报告中指出，“网络防火墙对应用层的安全已起不到什么作用了，因为为了确保通信，网络防火墙内的端口都必须处于开放状态。”在网络出现的初期，网络应用十分简单，如FTP，MAIL等很多都是简单的协议，而且是“一次性”交互，只是简单的传递信息。随着网络技术的普及和发展，网络上承载的应用越来越多，应用越来越复杂，针对应用层的攻击越来越多。
　　当前的企业网络正在面临着Web滥用、病毒泛滥和黑客攻击等安全问题，这些问题直接导致企业生产力下降。尽管大多数企业都安装了防火墙，但是攻击者知道正面攻破防火墙十分困难，于是从简单的端口扫描攻击转向通过应用层协议进入企业内部。具体来说，通过Web、Web邮件、聊天工具和P2P攻击企业网络。
　　几乎所有的企业防火墙都会打开Web端口，攻击者想方设法将病毒隐藏在下载软件或网页的恶意代码中，使不知情的用户执行了下载文件或恶意代码之后就会感染病毒。有的恶意代码还弹出欺骗性的提示信息引诱用户执行，这种方式非常隐蔽，并且能绕过防火墙过滤以及防毒机制的扫描。尽管企业能够防止病毒通过SMTP传播，但很多用户利用基于Web的邮件服务(如hotmail、Yahoo)发送或接收文件，避开SMTP邮件扫描系统。
　　目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议的深厚理解基础，即可完成诸如更换web网站主页，到取管理员密码，破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。
　　防火墙
　　防火墙技术发展已经非常成熟，也是目前网络安全技术中最实用和作用作大的技术。防火墙工作在网络层，完成下面的功能:
　　状态检测——这是非常有用和重要的功能，通过使用状态检测技术，可以实现单向的通讯保护。
　　地址转换——通过地址转换实现对内部地址的隐藏和保护
　　访问控制——实现网络层的访问控制，可以根据报文协议头部的信息实现对报文的过滤控制
　　使用代理的防火墙还能够完成对所代理协议的验证和加固保护功能，防止防火墙后面的协议漏洞暴露在攻击者面前。目前出现的集成杀毒的复合型防火墙能够检测流量中的附件是否感染病毒。
　　但是，作为目前应用最为广泛的http服务器等应用服务器，通常是部署在防火墙的DMZ区域，防火墙完全向外部网络开放http应用端口，这种方式对与http应用没有任何的保护作用。即使使用http代理型的防火墙，防火墙也只是验证http协议本身的合法性，完全不能理解http协议所承载的数据，也无从判断对http服务器的访问行为是否合法。一个最简单的例子就是在请求中包含SQL注入代码，或者提交可以完成获取他人用户认证信息的跨站脚本，这些数据不管是在传统防火墙所处理的网络层和传输层，还是在代理型防火墙所处理的协议会话层，都会认为是合法的。
　　明白了防火墙的工作原理，对于应用层攻击，传统防火墙显得无能为力也就不会感到奇怪了。
　　入侵检测
　　目前最成熟的入侵检测技术就是攻击特征检测。入侵检测系统首先建立一个包含目前大多已知攻击特征的数据库，然后检测网络数据中的每一个报文，判断是否含有数据库中的任何一个攻击特征，如果有，则认为发生响应的攻击，否则认为是合法的数据。
　　入侵检测系统作为防火墙的有利补充，加强了网络的安全防御能力。但是，入侵检测技术的作用存在一定的局限性。由于需要预先构造攻击特征库来匹配网络数据，对于未知攻击和不能有效提取攻击特征的攻击，入侵检测系统不能检测和防御。另外就是其技术实现的矛盾，如果需要防御更多的攻击，那么就需要很多的规则，但是随着规则的增多，系统出现的虚假报告(对于入侵防御系统来说，会产生中断正常连接的问题)率会上升，同时，系统的效率会降低。
　　对于应用攻击，入侵检测系统可以有效的防御部分攻击，但不是全部。
　　应用防火墙
　　网络面临的许多安全问题单靠防火墙是无法解决的，必须通过一种全新设计的高性能安全代理专用设备来配合防火墙。具体来说，利用防火墙阻挡外面的端口扫描攻击，利用应用安全防护技术，深层管理和控制由用户访问外部资源而引起的应用层攻击，解决针对应用的、具有破坏性的复杂攻击。
　　目前的应用防火墙实现了对网络应用保护，是传统安全技术的有效补充。应用防火墙可以阻止针对Web应用的攻击，而不仅仅是验证Http协议。这些攻击包括利用特殊字符或通配符修改数据的数据攻击，设法得到命令串或逻辑语句的逻辑内容攻击，以及以账户、文件或主机为主要目标的目标攻击。 应用防火墙可以有效的阻止下列的应用攻击:
　　缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。
　　Cookie假冒——精心修改cookie数据进行用户假冒。
　　认证逃避——攻击者利用不安全的证书和身份管理。
　　非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据。
　　强制访问——访问未授权的网页。
　　隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序。
　　拒绝服务攻击——构造大量的非法请求，使Web服务器不能相应正常用户的访问。
　　跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户帐号等信息。
　　SQL注入——构造SQL代码让服务器执行，获取敏感数据。
　　业界标准的应用防火墙一般采用主动安全技术实现对应用的保护。主动安全技术是指建立正面规则集，也就是说明哪些行为和访问是合法的规则描述。对于接收到的应用数据(从网络协议还原出来的应用数据，不是数据报文头)，判断是否符合合法规则。因为只允许通过已知的正常数据，这种方式可以防御所有的未知攻击。
　　下表是应用防火墙技术和传统安全产品功能的比较:
　　应用防火墙技术是现有网络安全架构的一个重要的补充，并不是取代传统防火墙和入侵检测等安全设备。传统安全设备阻挡攻击者从正面入侵，着重进行网络层的攻击防护;而应用防火墙着重进行应用层的内容检查和安全防御，与传统安全设备共同构成全面，有效的安全防护体系。