防火墻的高級(jí)檢測(cè)技術(shù)IDS詳解

　　多年來(lái)，企業(yè)一直依靠狀態(tài)檢測(cè)防火墻、入侵檢測(cè)系統(tǒng)、基于主機(jī)的防病毒系統(tǒng)和反垃圾郵件解決方案來(lái)保證企業(yè)用戶和資源的安全。但是情況在迅速改變，那些傳統(tǒng)的單點(diǎn)防御安全設(shè)備面臨新型攻擊已難以勝任。為了檢測(cè)出最新的攻擊，安全設(shè)備必須提高檢測(cè)技術(shù)。本文著重介紹針對(duì)未知的威脅和有害流量的檢測(cè)與防護(hù)，在防火墻中多個(gè)前沿的檢測(cè)技術(shù)組合在一起，提供啟發(fā)式掃描和異常檢測(cè)，增強(qiáng)防病毒、反垃圾郵件和其它相關(guān)的功能。

　　新一代攻擊的特點(diǎn)

　　1、混合型攻擊使用多種技術(shù)的混合-—如病毒、蠕蟲(chóng)、木馬和后門攻擊，往往通過(guò)Email和被感染的網(wǎng)站發(fā)出，并很快的傳遞到下一代攻擊或攻擊的變種，使得對(duì)于已知或未知的攻擊難以被阻擋。這種混合型攻擊的例子有Nimda、CodeRed和Bugbear等。

　　2、現(xiàn)在針對(duì)新漏洞的攻擊產(chǎn)生速度比以前要快得多。防止各種被稱之為“零小時(shí)”(zero-hour)或“零日”(zero-day)的新的未知的威脅變得尤其重要。

　　3、帶有社會(huì)工程陷阱元素的攻擊，包括間諜軟件、網(wǎng)絡(luò)欺詐、基于郵件的攻擊和惡意Web站點(diǎn)等數(shù)量明顯的增加。攻擊者們偽造合法的應(yīng)用程序和郵件信息來(lái)欺騙用戶去運(yùn)行它們。

　　傳統(tǒng)的安全方法正在失效

　　如今最流行的安全產(chǎn)品是狀態(tài)檢測(cè)防火墻、入侵檢測(cè)系統(tǒng)和基于主機(jī)的防病毒軟件。但是它們面對(duì)新一代的安全威脅卻作用越來(lái)越小。狀態(tài)檢測(cè)防火墻是通過(guò)跟蹤會(huì)話的發(fā)起和狀態(tài)來(lái)工作的。狀態(tài)檢測(cè)防火墻通過(guò)檢查數(shù)據(jù)包頭，分析和監(jiān)視網(wǎng)絡(luò)層(L3)和協(xié)議層(L4)，基于一套用戶自定義的防火墻策略來(lái)允許、拒絕或轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量。傳統(tǒng)防火墻的問(wèn)題在于黑客已經(jīng)研究出大量的方法來(lái)繞過(guò)防火墻策略。這些方法包括:

　　(1)利用端口掃描器的探測(cè)可以發(fā)現(xiàn)防火墻開(kāi)放的端口。

　　(2)攻擊和探測(cè)程序可以通過(guò)防火墻開(kāi)放的端口穿越防火墻。

　　(3)PC上感染的木馬程序可以從防火墻的可信任網(wǎng)絡(luò)發(fā)起攻擊。由于會(huì)話的發(fā)起方來(lái)自于內(nèi)部，所有來(lái)自于不可信任網(wǎng)絡(luò)的相關(guān)流量都會(huì)被防火墻放過(guò)。當(dāng)前流行的從可信任網(wǎng)絡(luò)發(fā)起攻擊應(yīng)用程序包括后門、木馬、鍵盤(pán)記錄工具等，它們產(chǎn)生非授權(quán)訪問(wèn)或?qū)⑺矫苄畔l(fā)送給攻擊者。

　　較老式的防火墻對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行檢查，但不具備檢查包負(fù)載的能力。病毒、蠕蟲(chóng)、木馬和其它惡意應(yīng)用程序能未經(jīng)檢查而通過(guò)。

　　當(dāng)攻擊者將攻擊負(fù)載拆分到多個(gè)分段的數(shù)據(jù)包里，并將它們打亂順序發(fā)出時(shí)，較新的深度包檢測(cè)防火墻往往也會(huì)被愚弄。

　　對(duì)深度檢測(cè)的需求

　　現(xiàn)今為了成功的保護(hù)企業(yè)網(wǎng)絡(luò)，安全防御必須部署在網(wǎng)絡(luò)的各個(gè)層面，并采用更新的檢測(cè)和防護(hù)機(jī)制。用于增強(qiáng)現(xiàn)有安全防御的一些新型安全策略包括:

　　設(shè)計(jì)較小的安全區(qū)域來(lái)保護(hù)關(guān)鍵系統(tǒng)。

　　增加基于網(wǎng)絡(luò)的安全平臺(tái)，以提供在線(“in-line”)檢測(cè)和防御。

　　采用統(tǒng)一威脅管理(Unified Threat Management，簡(jiǎn)稱UTM)，提供更好的管理、攻擊關(guān)聯(lián)，降低維護(hù)成本。

　　研究有效的安全策略，并培訓(xùn)用戶。

　　增加基于網(wǎng)絡(luò)的安全

　　基于網(wǎng)絡(luò)的安全設(shè)備能夠部署在現(xiàn)有的安全體系中來(lái)提高檢測(cè)率，并在有害流量進(jìn)入公司網(wǎng)絡(luò)之前進(jìn)行攔截?；诰W(wǎng)絡(luò)的安全設(shè)備在線(“in-line”)部署，阻擋攻擊的能力要比傳統(tǒng)的依靠鏡像流量的“旁路式”安全設(shè)備強(qiáng)得多?；诰W(wǎng)絡(luò)的安全設(shè)備的例子包括入侵防御系統(tǒng)(IPS)、防病毒網(wǎng)關(guān)、反垃圾郵件網(wǎng)關(guān)和統(tǒng)一威脅管理(UTM)設(shè)備。UTM設(shè)備是將多種安全特性相結(jié)合的統(tǒng)一安全平臺(tái)。除了實(shí)時(shí)阻擋攻擊之外，基于網(wǎng)絡(luò)的安全還包括以下優(yōu)點(diǎn):

　　減少維護(hù)成本。攻擊特征、病毒庫(kù)和探測(cè)引擎可以對(duì)單臺(tái)設(shè)備而不是上百臺(tái)主機(jī)更新。

　　升級(jí)對(duì)于用戶、系統(tǒng)或者應(yīng)用來(lái)說(shuō)是透明的，無(wú)需停機(jī)，更新可以實(shí)時(shí)進(jìn)行——不像操作系統(tǒng)和應(yīng)用程序打補(bǔ)丁那樣需要重啟系統(tǒng)。

　　保護(hù)在基于網(wǎng)絡(luò)的安全設(shè)備后面的所有主機(jī)，因此減少了基于主機(jī)的病毒特征庫(kù)、操作系統(tǒng)補(bǔ)丁和應(yīng)用程序補(bǔ)丁升級(jí)的急迫性，使IT專業(yè)人員在發(fā)生問(wèn)題之前有較充分的時(shí)間來(lái)測(cè)試補(bǔ)丁。

　　保持以前使用的設(shè)備、操作系統(tǒng)和應(yīng)用，無(wú)需將它們都升級(jí)到最新的版本。

　　在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點(diǎn)上阻擋攻擊，在惡意流量進(jìn)入公司網(wǎng)絡(luò)之前將其攔截。

　　不像基于主機(jī)的安全應(yīng)用那樣可能被最終用戶或惡意程序關(guān)閉。

　　可與已有的安全技術(shù)共存并互補(bǔ)。

　　高級(jí)安全檢測(cè)技術(shù)

　　作為UTM安全設(shè)備的領(lǐng)導(dǎo)廠商， Fortinet(飛塔)公司的FortiGate安全平臺(tái)通過(guò)動(dòng)態(tài)威脅防御技術(shù)、高級(jí)啟發(fā)式異常掃描引擎提供了較好的檢測(cè)能力， 包括:

　　集成關(guān)鍵安全組件的狀態(tài)檢測(cè)防火墻。

　　可實(shí)時(shí)更新病毒和攻擊特征的網(wǎng)關(guān)防病毒。

　　IDS和IPS預(yù)置一千多個(gè)攻擊特征，并提供用戶定制特征的機(jī)制。

　　(支持PPTP、L2TP、 IPSec，和SSL )。

　　反垃圾郵件具備多種用戶自定義的阻擋機(jī)制，包括黑白名單和實(shí)時(shí)黑名單(RBL)。

　　Web內(nèi)容過(guò)濾具有用戶可定義的過(guò)濾和全自動(dòng)過(guò)濾服務(wù)。

　　帶寬管理防止帶寬濫用。

　　用戶認(rèn)證，防止非授權(quán)的網(wǎng)絡(luò)訪問(wèn)。

　　動(dòng)態(tài)威脅防御提供先進(jìn)的威脅關(guān)聯(lián)技術(shù)。

　　ASIC加速提供比基于PC工控機(jī)的安全方案高出4-6倍的性能。

　　加固的操作系統(tǒng)，不含第三方組件，保證了物理上的安全。

　　完整的系列支持服務(wù)，包括日志和報(bào)告生成器、客戶端安全組件。

　　動(dòng)態(tài)威脅防御系統(tǒng)

　　Fortinet的動(dòng)態(tài)威脅防御系統(tǒng)(DTPS)是超越傳統(tǒng)防火墻、針對(duì)已知和未知威脅、提升檢測(cè)能力的技術(shù)。它將防病毒、IDS、IPS和防火墻模塊中的有關(guān)攻擊的信息進(jìn)行關(guān)聯(lián)，并將各種安全模塊無(wú)縫地集成在一起。DTPS技術(shù)使每一個(gè)安全功能之間可以互相通信，并關(guān)聯(lián)“威脅索引”信息，以識(shí)別可疑的惡意流量，這些流量可能還未被提取攻擊特征。通過(guò)跟蹤每一安全組件的檢測(cè)活動(dòng)，DTPS能降低誤報(bào)率，以提高整個(gè)系統(tǒng)的檢測(cè)精確度。相比之下，由多個(gè)不同廠商的安全部件(防病毒、IDS、IPS、防火墻)組合起來(lái)的安全方案則缺乏協(xié)調(diào)檢測(cè)工作的能力。

　　為了使性能達(dá)到最佳，所有會(huì)話流量首先被每一個(gè)安全和檢測(cè)引擎使用已知特征進(jìn)行分析。特征模式結(jié)合由硬件加速的精簡(jiǎn)模式識(shí)別語(yǔ)言是當(dāng)前識(shí)別已知攻擊最快的方法。如果發(fā)現(xiàn)了特征的匹配，DTPS按照在行為策略中定義的規(guī)則來(lái)處理有害流量——丟棄、重置客戶端、重置服務(wù)器、中止會(huì)話等。安全防護(hù)響應(yīng)網(wǎng)絡(luò)可提供病毒庫(kù)、IDS/IPS特征以及安全引擎最新版本， 以保持實(shí)時(shí)更新。這就保證了基于最新特征的威脅會(huì)被識(shí)別出來(lái)，并被快速阻擋。

　　如果不能找到特征的匹配，系統(tǒng)就會(huì)啟動(dòng)啟發(fā)式掃描和異常檢測(cè)引擎，會(huì)話流量會(huì)得到進(jìn)一步的仔細(xì)檢查，以發(fā)現(xiàn)異常。通過(guò)使用最新的啟發(fā)式掃描技術(shù)、異常檢測(cè)技術(shù)和動(dòng)態(tài)威脅防御系統(tǒng)，安全平臺(tái)大大提高了對(duì)已知和未知威脅的防御能力。