Check Point Application Intelligence---启用一种新级别的多层安全网关

network

Check Point Application Intelligence
启用一种新级别的多层安全网关
简介——基于应用的攻击
在过去的几年中，企业防火墙已经成为网络安全架构的主要组成部分。主要设计用于对网络资源提供访问控制，防火墙已在大部分网络中成功部署。防火墙成功的一个主要原因是，当执行一个适当定义的安全策略时，防火墙通常可以阻挡超过 90% 的攻击。然而，尽管大部分防火墙提供了有效的访问控制，但是仍有许多还不能支持应用级的攻击检测和阻隔。

认识到这个事实后，电脑黑客们设计出更加错综复杂的攻击来对付由网络边界防火墙执行的传统的访问控制策略。今天，高智商的黑客们早己不限于只对防火墙的开放端口进行扫描，现在他们的目标直指应用程序。

今天，互联网环境中的一些最严重的威胁来自于那些利用已知应用程序缺陷的攻击。黑客们最感兴趣的是像 HTTP（TCP 端口 80）和 HTTPS（TCP 端口 443）这样的服务，通常这些服务在许多网络中是开放的。访问控制装置不能轻易检测到面向这些服务的恶意使用。
通过直接面向应用程序，黑客们试图获得至少以下一种恶意目标，包括：
● 拒绝对合法用户的服务（DoS 攻击）
● 获得对服务器或客户端的管理访问权
● 获得对后端信息数据库的访问权
● 安装特洛伊木马软件后，可绕过安全保护并能够对应用程序进行访问
● 在服务器上安装运行于“sniffer（网络探针）”模式的软件，并获取用户名和密码

由于基于应用的攻击本身很复杂，有效的防卫必须也同样复杂和智能。为了解决基于应用攻击日益增强的威胁，企业防火墙必须包含新级别的多层安全网关。这种多层安全网关应该防止网络及应用攻击，同时提供对 IT 资源强大的访问控制。

Check Point Application Intelligence™ 是一组高级功能，与 Check Point 的 FireWall-1® 和 SmartDefense™ 集成，能够检测和阻止应用级攻击。
Applocation Intelligence——抵御新一代的网络应用威胁
许多防火墙（特别是那些基于 Stateful Inspection 技术的防火墙）已经保存了成功抵御网络攻击的防卫库。事实上，越来越多的攻击试图利用网络应用的弱点，而不是直接面向防火墙。这种攻击方法的重要变化需要防火墙不仅提供访问控制和网络级攻击保护，还要理解应用程序的行为以抵御对应用程序的攻击和入侵。Check Point Application Intelligence 扩展了对这种网络安全解决方案的理解。

示例协议

OSI（开放系统互联）参考模型

OSI 参考模型是一种框架（或指导方针），用于描述数据如何在网络设备中传输。注意：应用层不是真正的最终用户的软件应用程序，而是一系列允许软件应用程序通过网络通信的服务。第 5、6 和 7 层的区别通常并不明显，其他的一些相关模型将这几层组合在一起，本文也如此。
应用层安全
应用层引起大量攻击的原因有以下几点。首先，该层包含了黑客的最终目标——真正的用户数据。其次，应用层支持许多协议（HTTP、CIFS、VoIP、SNMP、SMTP、SQL、FTP、DNS 等），所以它包含了大量潜在的攻击方法。第三，因为应用层有更多的安全漏洞，所以相对于较低的那些层，在该层检测并防范攻击更加困难。

为了成功地提供对应用层的安全保护，一个安全解决方案必须提供以下四种防护策略。

1）验证是否遵循标准
防火墙必须能够确定通信是否遵循相关的协议标准。违反标准可能意味着恶意的传输流量。任何不遵循严格协议或应用标准的传输必须在获准进入网络前对其进行仔细检查，否则关键业务应用程序将面临危险。例如：
Voice Over IP（VoIP）VoIP 传输通常由 H.323 和 SIP 协议支持。这些协议的操作可能很复杂，因此有大量的通信端口支持 VoIP 呼叫的建立和维护。不正确的执行这些协议可能使 VoIP 部署变得脆弱并带来以下危险：
　　　■ 呼叫重定向——接收器的呼叫被重定向
　　　■ 盗用呼叫——呼叫者伪装成其他人
　　　■ 拒绝服务（DoS）——阻止合法使用 VoIP

安全网关必须保证 H.323 和 SIP 命令完全符合适当的标准和 RFC，且数据包在结构上有效并以正确的顺序到达。另外，防火墙应该检查所有通过许可端口的数据包内容，以确保它们包含安全的信息。

HTTP 头信息中的二进制数据 尽管官方的 HTTP 标准禁止在 HTTP 头信息中包含二进制字符，但这项规则并不明确，并且大多数防火墙未对此进行检查。结果，许多黑客利用在 HTTP 头信息中包含可执行代码发起攻击。所有的安全网关应该考虑如何阻隔或减少 HTTP 头信息和请求中包含的二进制字符。
2）验证协议是否遵循预期用法（协议不规则检测）
测试是否遵循协议十分重要，但是判断协议中的数据是否遵循预期用法的能力同等重要。换句话说，即使一个通信流遵循协议标准，使用协议的方法也可能与预期不相符合。例如：
HTTP 用于点对点（P2P）通信 P2P 是一种通信模型，其中的每一方都具备同样的能力，它们都能发起一次通信会话。P2P 应用程序分为两个主要类别：

　　　■ 即时消息（IM）——主要目标是实现人与人之间直接的在线通信。
　　　■ 文件共享网络——主要目标是共享存储一类的资源。

P2P 通信通常使用 TCP 端口 80，该端口常用于 HTTP 传输，因此对外的连接是开放的。虽然有许多专用的 P2P 协议，但 P2P 通信经常嵌入在 HTTP 传输中。在这种情况下，只进行是否遵循协议检查的防火墙将允许 P2P 会话（因为该会话使用标准 HTTP）。由于 HTTP 常用于 Web 传输，因此防火墙应该阻隔或仔细监测嵌入在 HTTP 传输中的 P2P 通信。

许多组织出于安全、带宽和法律原因希望阻隔或限制 P2P 传输。安全问题之所以被提出，源于 P2P 通信的设计允许进行文件传输、聊天、游戏、语音和发送电子邮件，同时也用于绕过防火墙、病毒检测、登录和跟踪。结果，黑客们能够利用 P2P 作为攻击载体进入网络。安全网关应该阻隔未授权的 P2P 传输，换句话说，安全网关应该选择性的允许已授权的 P2P 传输。

目录遍历 目录遍历攻击使黑客能够访问那些不应该进行访问的文件和目录，同时能导致他们试图访问未授权的资源，在 Web 服务器上运行非预期的可执行代码。大部分的这些攻击是基于文件系统中的 “..” 符号。防火墙应该阻隔这样一些请求——在这些请求中，URL 包括符合语法但不符合预期用法的目录请求。例如，http://www.server.com/first/second/../../.. 就应该被阻隔，因为它试图进入根目录的更深层。

HTTP 头信息长度过长 HTTP 标准没有限制头信息的长度。但是，过长的头信息长度会偏离正常或预期的 HTTP 用法。应该阻隔或减少过长的头信息长度，以减少缓冲溢出的机会；因此，应该严格限制可以插入的代码长度。

3）限制应用程序携带恶意数据的能力
即使应用层通信遵循协议，它们仍会携带可能破坏系统的数据。这样，安全网关必须提供一种机制，它能够限制或控制应用程序将潜在的危险数据或命令引入内部网络的能力。例如：

跨网站脚本攻击 脚本为攻击应用程序提供一个共同的机制。尽管大多数脚本是无害的，不设防的用户还是能够很容易并且在无意识的情况下执行恶意的脚本。这些脚本经常隐藏在看起来无害的链接中，或伪装成电子邮件卡片。一个普通的恶意脚本的例子出现在跨网站脚本攻击中（XSS）。通过特殊技巧处理的 URL，使跨网站脚本攻击可以利用用户和网站之间的信任关系。攻击的意图是盗窃包含用户身份和信用在内的 cookies，或欺骗用户为攻击者提供信用。通常，一个跨网站脚本攻击由 HTTP 请求中嵌入的脚本发起，用户在无意中将请求发送给可信任的网站。为了保护 Web 服务器，安全网关应该具有检测和封锁包含危险脚本代码的 HTTP 请求的能力。

限制和阻隔潜在的恶意 URL 恶意数据还可以将本身嵌入 URL 从而进入内部网络。例如，应用程序（电子邮件客户端）可以自动执行嵌入 HTML 的 URL。如果 URL 是恶意的，网络或用户的系统将受到破坏。对潜在的恶意 URL 的访问应被阻隔和限制。

检测和阻隔攻击特征 安全网关应该对所有的数据流执行内容过滤，以检测和阻隔有可能带有攻击和蠕虫等危险的数据模式。

4）控制应用层操作
不仅应用层通信可以将恶意数据引入网络，应用程序本身也可能执行未授权的操作。一个网络安全解决方案必须有能力通过执行“访问控制”和“合法使用”检查来识别和控制这样的操作。这种安全级别需要具有在细微处区分应用程序操作的能力。例如：

Microsoft 网络服务 网络安全解决方案可以使用 CIFS（基于 Microsoft 的通用 Internet 文件系统）的许多参数来实现安全策略。在 CIFS 支持的这些功能中，包括文件和打印共享操作。以这些操作的使用为例，安全网关应该有能力区分和阻隔那些来自用户或系统未被授权的文件共享操作。相反，来自同一用户的打印共享操作可能被允许和接受。提供这一高级的安全控制级别需要对 CIFS 的彻底理解，同时也需要具有控制应用层协议组件的能力。

FTP 防火墙应该对特殊的文件名设置连接限制，并且控制像 PUT、GET、SITE、REST 和 MACB 这样潜在危险的 FTP 命令。例如，安全策略可能对所有包含单词 “payroll” 的文件需要进行操作限制。 网络和传输层：Application Intelligence 的必要基础
Application Intelligence 本身的形式与应用级防护相关联。然而实践中，许多针对网络应用程序的攻击实际上均指向网络层和传输层。黑客们以攻击这些较低层为手段来访问应用层，并最终达到攻击应用程序和数据本身的目的。同时，以较低层为目标，攻击可以中断或拒绝合法的用户和应用程序服务（如 DoS 攻击）。基于上述原因，Application Intelligence 和其他网络安全解决方案不仅必须要解决应用层问题，还要解决网络及传输层安全问题。
网络层安全
防止恶意的网络层协议操作（如 IP、ICMP）对于多层安全网关来说至关重要。攻击网络层的最普遍的载体是互联网协议（IP），它的一系列的服务都驻留在网络层中。网络层存在许多的危险和攻击，例如：
IP 碎片 IP 碎片可用于发送和伪装攻击以避免检测。这项技术利用了 IP 协议本身固有的弹性机制（RFC 791 和 RFC 815），将攻击有意的分解为多个 IP 包，因此它们可绕过那些不能进行IP包重组的防火墙。另外，IP 碎片可以通过不完整碎片序列发送 DoS 攻击。

Smurfing（smurf 攻击）ICMP 允许一个网络结点向其他网络结点发送 ping 或 echo 请求，以确定它们的操作状态。这种能力可用于发起 “smurf” DoS 攻击。由于标准 ICMP 与响应请求不匹配，因此 smurf 攻击是可能的。这样，攻击者可以发送一个带有虚假源 IP 地址的 ping 命令以访问到一个 IP 广播地址。 IP 广播地址可以到达特定网络中的所有 IP 地址。所有在已连通的网络中的机器将发送 echo 回复给虚假的源 IP。过多的 ping 和响应能够使网络性能集聚下降，导致无法提供合法的传输访问。此类攻击能够通过去掉不匹配的请求被阻隔，例如，Check Point 的 Stateful ICMP 即可执行并监测到这一点。 传输层安全
就像网络层一样，传输层和它的通用协议（TCP、UDP）为攻击应用程序和数据提供了常用的接入点。传输层攻击和威胁实例如下：
Non-TCP DoS Non-TCP（如 UDP 和 ICMP）DoS 攻击能够完全控制关键任务应用程序——例如 SMTP、HTTP、FTP 等，它们都使用了 TCP 传输。通过保留用于 TCP 连接的状态表专有部分及系统资源，防火墙可以避免这些威胁。如果非 TCP 连接试图利用过多的资源，TCP 连接将不受影响，因为它们已被保留或由专有的系统资源操控。

端口扫描 端口扫描正如它的名字所述：黑客扫描目标主机上的一系列端口，希望识别和利用运行应用程序的弱点。端口扫描执行的检查存在导致被攻击的危险。安全网关必须能够发出警报，并阻隔或关闭扫描源的通信流量。 结论
防火墙已经成为网络安全基础架构的主要部分，这主要基于它们阻隔网络级攻击的能力。防火墙的成功另一方面也使黑客们又开发出更加复杂的攻击方法。新种类的攻击直接面向应用程序，经常试图利用应用程序本身固有的弱点或基本的通信协议中的弱点。因此，需要使用多层安全网关来保护公司网络免受这些威胁。另外，多层安全解决方案必须保护网络层和应用层免受攻击，提供对 IT 资源的访问控制。

Check Point Application Intelligence 具有一系列高级功能，与 Check Point FireWall-1 NG 和 SmartDefense 集成，能够检测和防止应用层攻击。Check Point 针对越来越多直接针对关键应用的攻击行为，在业界提供了领先的安全解决方案。
Check Point 多层安全性：
攻击防护安全措施和攻击阻隔
具有 Application Intelligence 的 FireWall-1 NG 能够阻隔许多攻击并提供大量攻击防护安全措施。此表列出一些防护措施，并将其按照协议和 OSI 模型层次归类。

注意：Check Point 将不断扩展提供防护的范围。这是一张简表，而不是详细的清单。

应用层/表示层

会话层

传输层

网络层

应用层/表示层

	攻击防护安全措施	攻击阻隔
HTTP 客户端	阻隔 Java 代码 去掉脚本标签 去掉 applet 标签 去掉 FTP 链接 去掉端口字符串 去掉 ActiveX 标签 识别出伪装默认的标识 URL 过滤 限制 URL 最大的长度 限制 HTTP 响应头信息的最大数量 限制请求头信息的最大长度 限制响应头信息的最大长度 禁止 HTTP 响应头信息中的二进制字符 禁止 HTTP 请求中的二进制字符 验证 HTTP 响应协议遵循情况 阻隔用户自定义的 URL 限制最大的 GET 和 POST 长度	红色代码蠕虫和变异 尼姆达蠕虫和变异 HTR 溢出蠕虫和变异 目录遍历攻击 MDAC 缓冲溢出和变异 跨网站脚本攻击 恶意 URLs 用户自定义蠕虫和变异
HTTP 服务器	限制 URL 的最大长度 区分同一连接的不同的 HTTP v1.1 请求 限制响应头信息的最大数量 限制请求头信息的最大长度 限制响应头信息的最大长度 在 HTTP 响应头信息中禁止二进制字符 在 HTTP 请求中禁止二进制字符 阻隔用户自定义的 URL 限制非 RFC HTTP 使用方法 在非标准端口加强 HTTP 安全（除 80 以外的端口） 将传输流与用户验证的 SOAP 计划/模板比较	编码攻击 跨网站脚本攻击 跨多个包的，基于 HTTP 的攻击 WebDAV 攻击 用户自定义的蠕虫和变异 分块传输编码攻击
SMTP	阻隔多重“内容类型”头信息 阻隔多重“编码头信息” 识别出伪装默认标识 限制不安全的 SMTP 命令 头信息指向验证 限制未知编码 限制不包含发送者/接收者域名的邮件信息 限制特殊类型的 MIME 附件 除去带有指定名称的文件附件 严格加强 RFC 821 和 822 ESMTP 命令监控	SMTP 邮件洪水 SMTP 蠕虫和变异 扩展的中继攻击 MIME 攻击 SPAM 攻击（大量电子邮件） 命令验证攻击 SMTP 蠕虫有效载荷和变异 蠕虫编码 防火墙遍历攻击 SMTP 错误的拒绝服务攻击 邮箱拒绝服务攻击（邮件过大） 地址欺骗 SMTP 缓冲溢出攻击
RSH	辅助端口监控 限制反向入侵
RTSP	辅助端口监控
IIOP	辅助端口监控
FTP	分析并限制危险的 FTP 命令 阻隔定制的文件类型 识别伪装默认标识 除去 FTP 参考	被动模式 FTP 攻击 FTP 反弹攻击 客户和服务器反弹攻击 FTP 端口注入攻击 目录遍历攻击 防火墙遍历攻击 TCP 分段攻击
DNS	限制 DNS 区域传送	DNS 请求不良包攻击 DNS 应答不良包攻击 DNS 请求缓存溢出 -- 未知请求/响应 中间人攻击
Microsoft 网络	CIFS 文件名过滤（利用 CIFS 协议抵御蠕虫攻击） 限制对注册表的远程访问 限制远程空会话	怪物蠕虫 尼姆达蠕虫 Liotan 蠕虫 Opaserv 蠕虫
SSH	增强 SSH v2 协议	SSH v1 缓冲溢出攻击
SNMP	限制 SNMP get/put 命令	SNMP 洪水攻击 缺省团体攻击 暴力攻击 SNMP Put 攻击
MS SQL		SQL 解析器缓冲溢出 SQL 监狱蠕虫
Oracle SQL	检验动态端口分配和初始化	SQLNet v2 中间人攻击
SSL	增强 SSL V3 协议	SSL V2 缓冲溢出
VoIP	校验协议域和值 识别和限制 PORT 命令 强迫强制域的存在 强制用户注册 防止 VoIP 防火墙漏洞	缓冲溢出攻击 中间人攻击
X11	限制反向入侵

会话层

	攻击防护安全措施	攻击阻隔
RPC	阻隔 RPC portmapper 使用	ToolTalk 攻击 snmpXdmid 攻击 rstat 攻击 mountd 攻击 cmsd 攻击 cachefsd 攻击
DEC-RPC	阻隔 DCE-RPC portmapper 使用
HTTP 代理	HTTP 代理执行：增强代理模式下的 HTTP 会话逻辑
VPN	根据证书撤消列表验证使用的数字证书 监控预共享密钥弱点	IKE 暴力攻击 集中和星型拓扑攻击 IKE UDP DoS 攻击 Windows 2000 IKE DoS 攻击 VPN IP Spoffing 攻击 VPN 中间人攻击

传输层

	攻击防护安全措施	攻击阻隔
TCP	加强 TCP 标记的正确用法 限制每个源会话 强制最短的 TCP 头信息长度 阻隔未知协议 限制无 ACK 的 FIN 包 使头信息中标识的 TCP 头信息长度不长于在头信息中标识的包长度 阻隔状态包 验证第一个连接包是 SYN 执行 3 路握手：在 SYN 和 SYN-ACK 之间，客户只能发送 RST 执行 3 路握手措施：在 SYN 和连接建立之间，服务器只能发送 SYN-ACK 或 RST 在 FIN 或 RST 包相遇之前，阻隔已建立连接上的 SYN 限制旧连接上的服务器到客户的包 如果包包含 SYN 或 RST，则除去属于旧连接的服务器到客户包 强制最小的 TCP 头信息长度 阻隔 TCP 碎片 阻隔 SYN 碎片 抢夺 OS 指纹	ACK 拒绝服务攻击 SYN 攻击 Land 攻击 Tear Drop 攻击 会话劫持攻击 Jolt 攻击 Bloop 攻击 Cpd 攻击 Targa 攻击 Twinge 攻击 小型 PMTU 攻击 会话劫持攻击（TCP 序列号操作） 跨多个包的，基于 TCP 的攻击 XMAS 攻击 端口扫描
UDP	校验 UDP 长度域 匹配 UDP 请求和应答	UDP Flood 攻击 端口扫描

网络层

	攻击防护安全措施	攻击阻隔
IP	强制最小的头信息长度 限制 IP-UDP 碎片 强制 IP 头信息中标识的头信息长度不长于头信息中标识的包长度 强制 IP 头信息中标识的包长度不长于实际的包长度 抢夺 OS 指纹 控制 IP 选项	IP 地址全扫描 IP 时间戳攻击 IP 记录路由攻击 IP 源路由攻击 IP 碎片拒绝服务攻击 松散源路由攻击 严格源路由攻击 IP 欺骗攻击
ICMP	阻隔大 ICMP 包 限制 ICMP 碎片 匹配 ICMP 请求和应答	Ping-of-Death 攻击 ICMP Flood

安全虚拟网络架构
所有的 Check Point Software 产品均建立在我们的“安全虚拟网络（SVN）架构”之上，它可通过 Internet、内部网和外部网环境为用户、网络、系统和应用程序提供安全和无缝的连接。Check Point Software 的 SVN 解决方案可通过遍布全球的业界领先的零售商和服务提供商处获得。