防火墻安全選擇策略

在6月份的時(shí)候有這樣一則新聞：美國(guó)科學(xué)家表示，許多網(wǎng)站目前都面臨一種新形式網(wǎng)絡(luò)攻擊——“HTTP請(qǐng)求走私”的威脅，這種攻擊將有害的數(shù)據(jù)包隱藏在看似合法的數(shù)據(jù)包中，通過(guò)HTTP請(qǐng)求破壞網(wǎng)站。

　　專(zhuān)家發(fā)現(xiàn)，“HTTP請(qǐng)求走私”最簡(jiǎn)單的一種攻擊形式是添加多余的“內(nèi)容長(zhǎng)度的頭信息標(biāo)簽”。通常，當(dāng)瀏覽器發(fā)出網(wǎng)頁(yè)請(qǐng)求時(shí)，它會(huì)發(fā)送包含詳細(xì)請(qǐng) 求內(nèi)容的數(shù)據(jù)包。一般情況下，數(shù)據(jù)包中只包含一個(gè)“內(nèi)容長(zhǎng)度的頭信息標(biāo)簽”，以保證需要處理的數(shù)據(jù)大小。而在“HTTP請(qǐng)求走私”中，可能會(huì)出現(xiàn)兩個(gè)以上 “內(nèi)容長(zhǎng)度的頭信息標(biāo)簽”?？茖W(xué)家發(fā)現(xiàn)，不同的網(wǎng)站在遭到這種攻擊時(shí)會(huì)作出不同的反應(yīng)，很可能會(huì)造成處理錯(cuò)誤。另外，“HTTP請(qǐng)求走私”能夠突破安全過(guò) 濾器，可以將新網(wǎng)站非法上載到網(wǎng)站緩沖區(qū)中。

　　專(zhuān)家認(rèn)為，黑客可能很快就會(huì)利用“HTTP請(qǐng)求走私”，對(duì)網(wǎng)站進(jìn)行大規(guī)模攻擊。最好的防范措施，就是嚴(yán)格遵循超文本數(shù)據(jù)傳輸協(xié)議的各項(xiàng)要求。同時(shí)，專(zhuān)家也認(rèn)為，之所以出現(xiàn)“HTTP請(qǐng)求走私”，說(shuō)明超文本傳輸協(xié)議存在漏洞，應(yīng)對(duì)其進(jìn)行修改。

　　這條新聞所提到的攻擊只是網(wǎng)站所面對(duì)的眾多攻擊中的比較新的一個(gè)。隨著互聯(lián)網(wǎng)的飛速發(fā)展，Web應(yīng)用也日益增多。今天，商業(yè)交易的各個(gè)部分都正在 向Web上轉(zhuǎn)移，但每增加一個(gè)新的基于Web的應(yīng)用系統(tǒng)，都會(huì)導(dǎo)致之前處于保護(hù)狀態(tài)下的后端系統(tǒng)直接連接到互聯(lián)網(wǎng)上，最后的結(jié)果就是將公司的關(guān)鍵數(shù)據(jù)置于 外界攻擊之下。

　　據(jù)Gartner調(diào)查顯示，現(xiàn)在有75%的攻擊都是針對(duì)Web應(yīng)用層發(fā)起的。尤其是金融服務(wù)業(yè)成為了眾矢之的，而攻擊者的主要目的就是直接獲取個(gè)人數(shù)據(jù)。

　　據(jù)美國(guó)計(jì)算機(jī)安全協(xié)會(huì)(CSI)/美國(guó)聯(lián)邦調(diào)查局(FBI)的研究表明，在接受調(diào)查的公司中，2004年有52%的公司的系統(tǒng)遭受過(guò)外部攻擊(包 括系統(tǒng)入侵、濫用Web應(yīng)用系統(tǒng)、網(wǎng)頁(yè)置換、盜取私人信息及拒絕服務(wù)等等)，這些攻擊給269家受訪公司帶來(lái)的經(jīng)濟(jì)損失超過(guò)1.41億美元，但事實(shí)上他們 中有98%的公司都裝有防火墻。

　　為什么防火墻沒(méi)有防住攻擊?因?yàn)樗麄儼惭b的是網(wǎng)絡(luò)防火墻，而真正能防御這些攻擊的是應(yīng)用防火墻。早在2002年，IDC就曾在報(bào)告中認(rèn)為，“網(wǎng)絡(luò)防火墻對(duì)應(yīng)用層的安全已起不到什么作用了，因?yàn)闉榱舜_保通信，網(wǎng)絡(luò)防火墻內(nèi)的端口都必須處于開(kāi)放狀態(tài)。”

　　從概念走向?qū)嵱?br />
　　應(yīng)用防火墻其實(shí)是個(gè)安全“老兵”了。在十幾年前，就已經(jīng)出現(xiàn)了應(yīng)用防火墻的概念。但是為什么遲遲沒(méi)有產(chǎn)品出現(xiàn)呢?華城技術(shù)有限公司負(fù)責(zé)人楊磊說(shuō)： “因?yàn)橄到y(tǒng)的硬件平臺(tái)跟不上。以前，網(wǎng)絡(luò)層數(shù)據(jù)的轉(zhuǎn)發(fā)處理就占用了CPU大量的資源，CPU根本無(wú)法再做應(yīng)用層的處理;而可以進(jìn)行高速網(wǎng)絡(luò)數(shù)據(jù)處理的 ASIC技術(shù)又處理不了應(yīng)用層數(shù)據(jù)的復(fù)雜性，所以應(yīng)用防火墻沒(méi)有誕生的條件?！彪S著NP(網(wǎng)絡(luò)處理器)性能的迅速提升，特別是基于通用CPU的多核NP 體系(例如Broadcom的雙核NP 1250，將2個(gè)64位MIPS芯片集成在一塊處理器芯片里面，而且后續(xù)推出了集成4個(gè)CPU的處理器;而 Cavium公司也推出了集成16個(gè)MIPS CPU和硬件加速處理單元的網(wǎng)絡(luò)服務(wù)處理器OCTEON)產(chǎn)生之后，利用多CPU的并行處理能力和軟件的靈 活性，應(yīng)用防火墻可以實(shí)現(xiàn)對(duì)復(fù)雜應(yīng)用的安全處理，并且能夠達(dá)到千兆線速的性能。

　　在2004年，應(yīng)用防火墻終于沖破概念的圍城，真正實(shí)現(xiàn)了產(chǎn)品化。國(guó)外有Teros、Sanctum、Netcontinuum和Kavado等 廠商推出了Web應(yīng)用防火墻，目前在國(guó)內(nèi)記者看到的產(chǎn)品僅僅有華城技術(shù)(secnumen)的AppRock和F5網(wǎng)絡(luò)公司的 TrafficShield.

　　現(xiàn)在我們所說(shuō)的應(yīng)用防火墻，一般是指Web應(yīng)用防火墻和數(shù)據(jù)庫(kù)防火墻(也叫SQL防火墻)，而現(xiàn)在我們所能見(jiàn)到的產(chǎn)品基本都是Web應(yīng)用防火墻。

　　應(yīng)用前面的銅墻鐵壁

　　安裝了網(wǎng)絡(luò)防火墻和IDS，就能抵擋應(yīng)用層攻擊嗎?不能。因?yàn)樵诒Ｗo(hù)應(yīng)用方面，網(wǎng)絡(luò)防火墻和IDS各有不足。

　　網(wǎng)絡(luò)防火墻有洞

　　網(wǎng)絡(luò)防火墻技術(shù)的發(fā)展已經(jīng)非常成熟，也是目前網(wǎng)絡(luò)安全技術(shù)中最實(shí)用和作用最大的技術(shù)。但是，作為目前應(yīng)用最為廣泛的HTTP服務(wù)器等應(yīng)用服務(wù)器， 通常是部署在防火墻的DMZ區(qū)域，防火墻完全向外部網(wǎng)絡(luò)開(kāi)放HTTP應(yīng)用端口，這種方式對(duì)于HTTP應(yīng)用沒(méi)有任何的保護(hù)作用。即使使用HTTP代理型的防 火墻，防火墻也只是驗(yàn)證HTTP協(xié)議本身的合法性，完全不能理解HTTP協(xié)議所承載的數(shù)據(jù)，也無(wú)從判斷對(duì)HTTP服務(wù)器的訪問(wèn)行為是否合法。攻擊者知道正 面攻破網(wǎng)絡(luò)防火墻十分困難，于是從簡(jiǎn)單的端口掃描攻擊轉(zhuǎn)向通過(guò)應(yīng)用層協(xié)議進(jìn)入企業(yè)內(nèi)部，目前，利用網(wǎng)上隨處可見(jiàn)的攻擊軟件，攻擊者不需要對(duì)網(wǎng)絡(luò)協(xié)議有深厚 的理解，即可完成諸如更換Web網(wǎng)站主頁(yè)、盜取管理員密碼、破壞整個(gè)網(wǎng)站數(shù)據(jù)等攻擊。而這些攻擊過(guò)程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒(méi)有什么區(qū)別。一個(gè)最 簡(jiǎn)單的例子就是在請(qǐng)求中包含SQL注入代碼，或者提交可以完成獲取其他用戶認(rèn)證信息的跨站腳本，這些數(shù)據(jù)不管是在傳統(tǒng)防火墻所處理的網(wǎng)絡(luò)層和傳輸層，還是 在代理型防火墻所處理的協(xié)議會(huì)話層，都會(huì)認(rèn)為是合法的。

　　明白了防火墻的工作原理，我們就知道，對(duì)于應(yīng)用層攻擊，網(wǎng)絡(luò)防火墻是無(wú)能為力的。

　　入侵檢測(cè)有限

　　目前最成熟的入侵檢測(cè)技術(shù)就是攻擊特征檢測(cè)。入侵檢測(cè)系統(tǒng)首先建立一個(gè)包含目前大多已知攻擊特征的數(shù)據(jù)庫(kù)，然后檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)中的每一個(gè)報(bào)文，判斷是否含有數(shù)據(jù)庫(kù)中的任何一個(gè)攻擊特征，如果有，則認(rèn)為發(fā)生相應(yīng)的攻擊，否則認(rèn)為是合法的數(shù)據(jù)。

　　入侵檢測(cè)系統(tǒng)作為防火墻的有力補(bǔ)充，加強(qiáng)了網(wǎng)絡(luò)的安全防御能力。但是，入侵檢測(cè)技術(shù)的作用存在一定的局限性。由于需要預(yù)先構(gòu)造攻擊特征庫(kù)來(lái)匹配網(wǎng) 絡(luò)數(shù)據(jù)，對(duì)于未知攻擊和不能有效提取攻擊特征的攻擊，入侵檢測(cè)系統(tǒng)不能檢測(cè)和防御。另外就是其技術(shù)實(shí)現(xiàn)的矛盾，如果需要防御更多的攻擊，那么就需要很多的 規(guī)則，但是隨著規(guī)則的增多，系統(tǒng)出現(xiàn)的虛假報(bào)告(對(duì)于入侵防御系統(tǒng)來(lái)說(shuō)，會(huì)產(chǎn)生中斷正常連接的問(wèn)題)率就會(huì)上升，同時(shí)，系統(tǒng)的效率會(huì)降低。

　　對(duì)于應(yīng)用攻擊，入侵檢測(cè)系統(tǒng)可以有效的防御部分攻擊，但不是全部。

　　應(yīng)用防火墻有效

　　網(wǎng)絡(luò)面臨的許多安全問(wèn)題單靠網(wǎng)絡(luò)防火墻是無(wú)法解決的，必須通過(guò)一種全新設(shè)計(jì)的高性能安全代理專(zhuān)用設(shè)備來(lái)配合網(wǎng)絡(luò)防火墻。具體來(lái)說(shuō)，利用網(wǎng)絡(luò)防火墻 阻擋外面的端口掃描攻擊，利用應(yīng)用安全防護(hù)技術(shù)，深層管理和控制由用戶訪問(wèn)外部資源而引起的應(yīng)用層攻擊，解決針對(duì)應(yīng)用的、具有破壞性的復(fù)雜攻擊。

　　應(yīng)用防火墻真正實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)應(yīng)用的保護(hù)，是傳統(tǒng)安全技術(shù)的有效補(bǔ)充。應(yīng)用防火墻可以阻止針對(duì)Web應(yīng)用的攻擊，而不僅僅是驗(yàn)證HTTP協(xié)議。這些 攻擊包括利用特殊字符或通配符修改數(shù)據(jù)的數(shù)據(jù)攻擊、設(shè)法得到命令串或邏輯語(yǔ)句的邏輯內(nèi)容攻擊，以及以賬戶、文件或主機(jī)為主要目標(biāo)的目標(biāo)攻擊。2004年所 出現(xiàn)的Web應(yīng)用10大漏洞，應(yīng)用防火墻均可以防御，未知攻擊也無(wú)法越過(guò)應(yīng)用防火墻。

　　業(yè)界標(biāo)準(zhǔn)的應(yīng)用防火墻一般采用主動(dòng)安全技術(shù)實(shí)現(xiàn)對(duì)應(yīng)用的保護(hù)。主動(dòng)安全技術(shù)是指建立正面規(guī)則集，也就是說(shuō)明哪些行為和訪問(wèn)是合法的規(guī)則描述。對(duì)于 接收到的應(yīng)用數(shù)據(jù)(從網(wǎng)絡(luò)協(xié)議還原出來(lái)的應(yīng)用數(shù)據(jù)，不是數(shù)據(jù)報(bào)文頭)，判斷是否符合合法規(guī)則。因?yàn)橹辉试S通過(guò)已知的正常數(shù)據(jù)，這種方式可以防御所有的未知 攻擊。

　　應(yīng)用防火墻技術(shù)是現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)的一個(gè)重要補(bǔ)充，而不是取代傳統(tǒng)防火墻和入侵檢測(cè)等安全設(shè)備。傳統(tǒng)安全設(shè)備阻擋攻擊者從正面入侵，著重進(jìn)行網(wǎng)絡(luò)層的攻擊防護(hù);而應(yīng)用防火墻著重進(jìn)行應(yīng)用層的內(nèi)容檢查和安全防御，與傳統(tǒng)安全設(shè)備共同構(gòu)成全面、有效的安全防護(hù)體系。