智能防火墙的技术亮点

network

市场上宣扬防火墙速度快，不会成为网络瓶颈的产品很多。我们并不认为这是对防火墙产品的正确定位与宣传。首先。防火墙是一种网络安全设备，应用领域 主要是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络。防火墙扮演的角色是一个边界的访问控制者，虽然对控制检测的速度有着基本的要求，但是重 点在于防火墙能不能有效的屏蔽非法流量，能不能有效的阻挡住攻击和渗透，能不能有效的提供警报和提示信息，延长入侵和威胁的周期，为安全人员在处理安全事 件的时候争取时间和主动权。所以，防火墙最重要的参数应该是产品的综合安全性，而不是所谓的吞吐量和转发速度。无论防火墙如何的快速转发，终究是没有交换 机快的。正因为如此，交换机不是一款安全产品，无法对进出的流量进行智能的安全控制。显而易见，这就是我们为什么在边界部署防火墙而不是交换机原因。
其次，第三层设备，如带路由模块的交换机，或者是路由器，都可以通过定义访问控制列表来过滤指定的流量。通过ACL我们可以对网络的访问进行基本的 设置和过滤，但是对于一个综合应用很多的大型网络，ACL的局限性就很多了。ACL仅仅是在OSI第三层上检测数据包的目标地址，源地址以及协议或者端 口，无法判断该协议状态是否是正常的，无法判断整个会话的状态是否非法的，无法分析其数据包的内容是否有害的。如果仅仅依靠包过滤设备来保护网络，那在面 对如SQL注入，ASP木马，WEB Shell，VBS攻击程序，AX插件攻击等流行而危害性非常非常大的攻击方式面前将无能为力。很有可能，管理人员以为封掉了多余的端口而高枕无忧的时 候，其实服务器已经通过80端口被入侵了很长时间了，数据库已经被重新打包窃取了。
另外，很多网络设备和技术手段都可以对网络提供保护，但是致命的一点是，该系统无法在安全性，可用性和功能上进行权衡和妥协。对此我们提出的方案 是：使用智能的高安全性的防火墙。因为它们只专注做一件事，就是，在已授权和未授权通信之间做出决断。防火墙成为了与不可信任网络进行联络的唯一纽带，我 们通过部署智能防火墙，就可以通过关注防火墙的安全来保护其内部的网络安全。并且所有的通信流量都通过防火墙进行审记和保存，对于网络安全犯罪的调查取证 提供了依据。防火墙减轻了网络和系统被用于非法和恶意目的的风险。
在市场上的各类智能防火墙产品中，CheckPoint公司的NG是非常具有代表性的。我们就CheckPoint公司的Stateful Inspection(状态检测技术) 和Web Intelligence (Web智能技术)来简单介绍下对于防火墙的智能防御与Web安全保护。
简单来说，状态检测技术工作在OSI参考模型的Data Link与Network层之间，数据包在操作系统内核中，在数据链路层和网络层时间被检查。防火墙会生成一个会话的状态表，Inspect Engine检测引擎依照RFC标准维护和检查数据包的上下文关系。该技术是CheckPoint发明的专利技术。对状态和上下文信息的收集使得 CheckPoint防火墙不仅能跟踪TCP会话，也能智能处理无连接协议，如UDP或RPC。这样就保证了在任何来自服务器的数据被接受前，必须有内部 网络的某一台客户端发出了请求，而且如果没有受到响应，端口也不会处于开放的状态。状态检测对流量的控制效率是很高的，同时对于防火墙的负载和网络数据流 增加的延迟也是非常小。可以保证整个防火墙快速，有效的控制数据的进出和做出控制决策。
在Web环境中，威胁来自于多个方面，从端点到传输到边界，最后到达Web服务器和后台数据库。这一系列的数据交换将会引发大量的安全问题。传统的 防火墙的功能对于Web的保护相当有限，比如，无法深入检测HTTP的内容，不能理解 Web 应用的上下文，性能低下，无法提前部署与防御等等。CheckPoint的Web Intelligence，有一种名为Malicious Code Protector (可疑代码防护器)来提供对应用层的保护。比如，Web会话是否符合RFC的标准不能包含二进制数据；协议使用是否为预期或典型的；应 用是否引入了有害的数据或命令；应用是否执行了未授权的操作或引入了有害的可执行代码等。如何去判断上述的一些威胁呢？MCP使用了通过分拆及分析嵌入在 网络传输中的可执行代码，模拟行来判断攻击，将可执行代码放置到一个虚拟的仿真服务器中运行，检测是否对虚拟系统造成威胁，最终来决定是否定义为攻击行 为。该技术最大的优势是可以非常精确的阻止已知和未知攻击，并且误报率相当低。
Nokia IPSO支持路由，透明，NAT等多种模式，支持广泛的协议和广域网物理接口。针对于CheckPoint给予硬件加速功能，提供高可用性和负载均衡。并 且管理界面简单，部署安全高效。Nokia IPSO与CheckPoint产品的结合，是安全业界公认的高安全性与高效率的解决方案。
Nokia给CheckPoint提供了一套安全可靠的运行环境，使用IPSO的命令行界面和Web管理界面，支持SSH和SSL，可以配置路由， 透明桥，防火墙群集。管理和安装CheckPoint的系统组件，以及安装包的管理，系统配置的备份与迁移，网络层信息的收集与硬件性能的监视等。
CheckPoint系统分为三大类，分别为：GUI模块，管理模块与防火墙模块。分布式安装，集中的管理和高效部署正是CheckPoint的优 势，所以这三个模块可以安装在单一设备上，也可以分别部署在独立的系统中。GUI模块提供给用户一个图形管理界面，用户可以通过这个界面与防火墙交互式操 作，包括定义网络结构，安全对象，可视化策略编辑器等；而管理模块则定义和保存了防火墙的规则，策略，以及日志等系统运行信息；防火墙模块是位于整个系统 的前沿，通常又称做执行点。通过后端的规则制定与管理模块的策略下发，在此模块上执行并且应用。一个管理模块可以同时管理多台前端执行点，统一下发安全策 略，集中汇集日志和警报信息，联合多个防火墙共同响应与防御威胁。
与非智能的防火墙相比，比如使用ASIC硬件芯片的防火墙设备，虽然会达到接近线速的吞吐速率，但是防火墙的收缩性差。网络接口、硬件性能已定。无 法升级性能，无法扩充端口。并且防火墙的管理功能很弱。不能集中管理，无法做到从一个中央点监控管理所有的防火墙，在部署策略的时候需要很长的周期和很多 重复性的工作，没有强大的日志功能。对于防御未知的攻击的扩展性非常差，并且升级攻击库和入侵特征困难等。

network

不错的贴子.分析 的相当好。
好售前资料

YLN

非常实用的讲解