思科防火墙销售指南之应用篇作者:greenfoo…文章来源:netsp点击数:4141更新时间:2005-6-26365Key网摘CiscoSystems,Inc.思科系统公司是全球领先的互联网设备供应商。它的网络设备和应用方案将世界各地的人、计算设备以及网络联结起来,使人们能够随时随地利用各种设备传送信息。思科公司向客户提供端到端的网络方案,使客户能够建立起其自己的统一信息基础设施或者与其他网络相连。思科公司提供业界范围最广的网络硬件产品、互联网操作系统(IOS)软件、网络设计和实施等专业技术支持,并与合作伙伴合作提供网络维护、优化等方面的技术支持和专业化培训服务。思科公司及其客户每天都在为推进互联网的发展而努力。思科相信,互联网的发展将极大地改变企业的运营方式,产生全球网络经济模式。这一模式使任何规模的企业都能使用信息交换技术来保持一种强大、交互性的业务关系。思科公司自身就是全球网络经济模式的受益者。利用跨越互联网以及内部网的网络应用,运营成本大幅降低,直接收入增加。思科公司目前拥有全球最大的互联网商务站点,公司全球业务90%的交易是在网上完成的。思科在中国随着全球经济一体化进程的加快,思科系统公司非常重视这一态势,及时进入中国市场,并先后在北京(1994年8月)、上海(1995年9月)、广州(1996年3月)和成都(1996年5月)设立了代表处。1998年6月2日,思科系统公司总裁兼首席执行官约翰钱伯斯先生自担任这个职位以来首次访华,宣布建立思科系统(中国)网络技术有限公司,统领思科在华各项业务;在北京建立网络技术实验室,为国内网络技术机构提供网络解决方案的性能测试、ATM宽带交换机的性能测试、千兆位路由光纤传输和虚拟局域网的性能评估测试。这是思科系统公司在全球的三个大型实验室之一,也是它在亚洲最大的网络实验室。1999年1月14日,思科系统公司又投资数百万美元加强其在中国的客户支持体系,在北京建立技术支持中心。这个中心是思科系统公司全球四大技术支持中心之一,向思科系统公司在中国的合作伙伴和用户提供每周7天、每天24小时的软硬件维护及支持服务。从1998年6月至今,中国国家主席江泽民先后两次亲切接见了到访的思科系统公司总裁兼首席执行官约翰钱伯斯先生,鼓励思科系统公司为推进中国社会信息化建设贡献力量。思科系统公司十分重视帮助中国教育和培养网络人才,先后与国内160多所著名高校合作成立了思科网络技术学院。思科每年在国内举办数十场技术报告会和研讨会,向国内介绍当今世界最新网络技术和产品。从1998年始,思科大学每季度都组织针对经销商和用户的不同主题的技术培训。思科系统公司在中国的服务与支持日臻完善。目前,除已建成北京技术支持中心(TAC)和北京、上海、广州、成都备件库外,还提供中文3W服务与支持,包括24小时全球电话热线服务和中文电子邮件服务以及各种技术培训。经验丰富的思科工程师不仅为用户解决各种问题带来了极大方便,更重要的是加强了思科系统(中国)网络技术有限公司代理商的技术能力,使其能更好地在第一线为用户提供直接的支持。在中国,思科系统公司积极谋求和其他厂商广泛的、全方位的、深层次的合作。面对不同的市场需求和用户群,思科系统中国公司有四种不同的合作伙伴体系-分销代理体系、认证合作伙伴体系、战略联盟合作伙伴体系、培训合作伙伴体系。这四种体系的完美组合与协调,使思科系统公司的用户可以享受全方位的技术支持、系统维护、人员培训等服务。多年来,思科系统公司积极参与了中国几乎所有大型网络项目的建设,把最先进的网络技术和产品以最快的速度带给中国用户,使他们能够及时改善计算机网络及相关基础设施。这些项目既包括中国金融骨干网、中国教育科研网以及海关、邮政等系统网络的建设,也包括中国电信、中国联通和吉通公司等电信运营商的网络基础建设;既有全国范围的骨干网络建设,也有针对新兴电信增值业务的设备部署。中国社会信息化、网络化建设不仅需要领先的网络技术和设备,更需要正确建立和充分应用互联网的成功经验和策略咨询。思科互联网商业方案部(IBSG)积极与用户分享思科应用互联网的成功经验。在《财富》全球500强企业中,已有280多家企业的总裁和首席信息官分享了思科经验。美国《商业周刊》对此评论说,由于思科处在互联网经济的核心,它比任何其他公司都更适合于领导和推动全球经济企业发展向互联网转型。思科系统公司为建设一个信息化的中国社会不断贡献着自己的力量。思科公司在网络安全市场-防火墙的领导地位思科公司的PIX防火墙产品自面世以来就得到用户的信赖和认可,连续多年在全球防火墙市场份额均居所有安全厂商之首,在中国也不例外,思科公司的PIX防火墙高居中国防火墙市场份额。到目前为止,思科公司拥有覆盖全国,主要涉及、电信、金融、、能源、交通、教育、流通、邮政、制造等行业的用户,有非常广泛的用户群和实际防火墙实施经验。防火墙技术发展与思科防火墙技术防火墙技术防火墙所能起到的保护能力与其体系结构和运行机制有很大的关系,每一次体系结构上的演变都会带来防火墙功能的质的飞跃。防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护。包过滤是历史最久远的防火墙技术,从实现上分,可以分为简单包过滤和状态检测的包过滤两种。简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这样的功能。由于这类技术不能跟踪TCP的状态,所以对TCP层的控制能力有限,当在这样的产品上配置了仅允许从内到外的TCP访问时,一些以TCP应答包的形式进行的攻击仍然可以从外部透过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善,1999年开始已经很少在主流产品中出现了。状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术,通常的表现形式是一组代理的集合。代理的原理是彻底隔断两端的直接通信,所有通信都必须经应用层的代理转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说,状态检测包过滤规范了网络层和传输层行为,而应用代理则是规范了特定的应用协议上的行为。防火墙防御攻击的几种常用技术深度数据包处理深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。防火墙技术应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。SSL终止如今,几乎所有的安全应用都使用HTTPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果安全策略不允许敏感信息在未加密的前提下通过网络传输,就需要在流量发送到Web服务器之前重新进行加密的解决方案。URL过滤一旦应用流量呈明文格式,就可以检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicodeencoding)。对URL过滤采用基于特征的方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击的URL,但这还远远不够。需要一种方案不仅能检查RUL,还能检查请求的其余部分;把应用响应考虑进来,可以大大提高检测攻击的准确性。用户会话跟踪更先进的技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分:跟踪用户会话,把单个用户的行为关联起来。这项功能通常借助于通过URL重写(URLrewriting)来使用会话信息块加以实现。只要跟踪单个用户的请求,就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持(session-hijacking)及信息块中毒(cookie-poisoning)类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块,还能对应用生成的信息块进行数字签名,以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应,并从中提取信息块信息。响应模式匹配响应模式匹配为应用提供了更全面的保护:它不仅检查提交至Web服务器的请求,还检查Web服务器生成的响应。它能极其有效地防止网站受毁损,或者更确切地说,防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别:防毁损工作由应用防火墙来进行,它对站点上的静态内容进行数字签名,如果发现内容离开Web服务器后出现了改动,防火墙就会用原始内容取代已毁损页面;对付敏感信息泄露方面,应用防火墙会监控响应,寻找可能表明服务器有问题的模式,譬如一长串Java异常符,如果发现这类模式,防火墙就会把它们从响应当中剔除,或者干脆封阻响应。行为建模行为建模有时称为积极的安全模型或“白名单”(whitelist)安全,它是唯一能够防御最棘手的应用漏洞--零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为,其它行为一律禁止。这项技术要求对应用行为进行建模,这反过来就要求全面分析提交至应用的每个请求的每次响应,目的在于识别页面上的行为元素,譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞,同时对允许用户访问的URL实行极其严格的监控。行为建模是一种很好的概念,但其功效往往受到自身严格性的限制。某些情况大量使用JavaScript或者应用故意偏离行为模型都会导致行为建模犯错,从而引发误报,拒绝合理用户访问应用。行为建模要发挥作用,就需要一定程度的人为干预,以提高安全模型的准确性。思科防火墙技术状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术,CiscoSecurePIX防火墙基于此两种防火墙技术的基础上,提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。ASA自适应安全算法与包过滤相比,功能更加强劲;另外,ASA与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过PIX防火墙。这样,内部和外部的授权用户就可以透明地访问企业资源,同时保护内部网络不会受到非授权访问的侵袭。另外,思科公司的专用实时嵌入式系统还能进一步提高CiscoSecurePIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台,但通用的操作系统并不能提供最佳的性能和安全性。而专用的CiscoSecurePIX防火墙是为了实现安全、高性能的保护而专门设计。适应性安全算法(AdaptiveSecurityAlgorithm)适应性安全算法(ASA)是一种状态安全方法。每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查。安全业界人士都认为,这种默认安全方法要比无状态的包屏蔽方法更安全。ASA无需配置每个内部系统和应用就能实现单向(从内到外)连接。ASA一直处于操作状态,监控返回的包,目的是保证这些包的有效性。为减小TCP序列号袭击的风险,它总是主动对TCP序列号作随机处理。当向外包到达PIXFirewall上