收藏
下载资源

状态检测技术以及竞争厂商对比

上传人:公**** 文档编号:488594746 上传时间:2023-03-25 格式:DOC 页数:6 大小:47KB
返回 下载 相关 举报
状态检测技术以及竞争厂商对比_第1页
第1页 / 共6页
状态检测技术以及竞争厂商对比_第2页
第2页 / 共6页
状态检测技术以及竞争厂商对比_第3页
第3页 / 共6页
状态检测技术以及竞争厂商对比_第4页
第4页 / 共6页
状态检测技术以及竞争厂商对比_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《状态检测技术以及竞争厂商对比》由会员分享,可在线阅读,更多相关《状态检测技术以及竞争厂商对比(6页珍藏版)》请在金锄头文库上搜索。

1、n状态检测技术以及竞争厂商对比-为什么所有的状态检测防火墙并不完全相同?提纲1 概述:防火墙安全2 状态检测概念 Stateful Inspection2.1 不同防火墙实现状态检测的不同之处2.2 Cisco PIX防火墙安全之缺陷2.3 NetScreen防火墙安全之缺陷2.4 状态检测处理的公共服务和协议services and protocols3 检测攻击和防护攻击3.1 Check Point的方法3.2 Cisco PIX 在检测攻击和防护攻击上的局限性3.3 NetScreen 在检测攻击和防护攻击上的局限性3.4 攻击的防护能力总结: Check Point的状态检测技术是防

2、火墙的工业标准1 概述:防火墙安全很多的防火墙产品的出现给网络安全管理者进行产品选型过程中出现困难。为了决定哪个产品是最安全的而翻阅大量的市场和销售的文档令人头疼。本文针对防火墙选择过程提供一些技术背景,解释并比较Check Point 、Cisco、 NetScreen 提出的安全解决方案。2. 状态检测概念 Stateful Inspection状态检测由Check Point公司发明,是企业防火墙的事实上的技术标准。为了提供全面的安全解决方案,一个防火墙必须能跟踪和控制所有会话的flow,与原始的“包过滤”技术不同,状态检测分析流入和流出网络的“流”,因此可以基于通讯会话信息(也可基于应

3、用信息)做出实时的安全判断, 这个结果通过跟踪穿越防火墙网关的通讯会话的状态state和上下文来实现,不管这个连接connection包含多么复杂的协议。2.1不同防火墙实现状态检测的不同之处状态防火墙所能提供的安全级别由是否能跟踪大量的数据和对数据是否进行了彻底的分析来决定。防火墙只有跟踪每一个通讯会话session的实际状态和许可会话所动态打开的TCP或UDP端口 。如果防火墙没有这个能力,就必须打开一个很大的端口范围来支持哪怕是最基本的Internet服务。防火墙如果不加鉴别地打开一定范围的端口将会在在安全配置上出现严重的可被利用的漏洞。为了跟踪上下文,一个防火墙必须检查包的内容以确保每

4、个进入网络的数据包能匹配通讯会话原有的的参数或属性,这就能确保可疑的或恶意的数据包与正常通讯数据包的上下文区别开来,因此不会威胁防火墙的安全,为了跟踪和处理某一应用的状态state信息和上下文context信息,应用的信息被看作具有一定状态的traffic,以下是一个防火墙所应该跟踪和分析的状态和上下文关系的例子:状态和上下文信息数据包的头信息 (源地址、目的地址、协议、源端口、目的端口、包长度)连接状态信息 (哪一个连接打开了哪一个端口)TCP 和 IP 分段数据 (例如:分段号、顺序号) 数据包重组、应用类型、上下文校验 (即:包属于哪个通讯会话session)到防火墙的哪一个接口上从防火

5、墙的哪一个接口上出去第二层信息 (如VLAN ID号)数据包到达的日期和时间真正的状态检测意味着能跟踪通讯的所有的状态和上下文信息,所以说,只有Check Point FireWall-1® 能提供真正的状态检测Stateful Inspection.2.2 Cisco PIX防火墙安全之缺陷尽管Cisco也讲他的技术是状态检测,但是Cisco PIX 防火墙并不能够对所有支持的应用和服务提供状态安全机制。因此,他所能提供的安全是不完整的。例如, PIX 不能处理Microsoft Exchange 服务的完整的状态和上下文信息,CISCO为了配置PIX能支持f MS Exchange

6、服务, Cisco 建议用户在要发MAIL的外部HOST上打开一定范围的端口 (TCP 1024 到 65535),如果PIX要维护MS Exchange服务的状态,他将自动打开那些所需的应用和通讯会话的端口, Cisco对 MS Exchange 的支持方式是违反安全惯例的:在防火墙上不加选择地打开一定范围的没有用的可被利用的漏洞。并且, PIX不理解MS Exchange这种应用。由于不理解通讯的上下文, PIX防火墙不能够阻止夹杂在合法的MS Exchange 数据中的可以数据包。对MS Exchange的处理方式是Cisco PIX 不能按照状态检测数据包的一个简单例子。更多更全面的对

7、比,祥见表1.2.3 NetScreen防火墙安全之缺陷NetScreen的状态检测的实现也是不完整的。 NetScreen防火墙设备在对所有的应用执行安全策略时也不能够重组碎片 fragmented TCP 包,这就意味着在网络遭受HTTP-driven攻击时会出现严重的安全问题。如果一个攻击(例如一个可疑的URL)被分片成多个数据包,NetScreen防火墙不能检测到,也不能够阻断这个攻击。对包进行分片易如反掌,NetScreen防火墙这个缺陷使被他保护的网络很容易被很多知名的攻击手段所攻击。例如,对于红色代码 Code Red,如果一个可疑的URL string 被分片,并按多个包发送,

8、这种攻击将穿越NetScreen防火墙而不被发现,一旦目的服务器收到后,这些恶意的包将被重新组装,最终导致服务器“缓冲区溢出” (更详细的内容见下面的“检测攻击和防护攻击”章节).在所有应用和服务上的TCP包的重新组装是任何一个状态检测防火墙的最基本的要求。如果防火墙没有这个功能,或者丢弃合法连接的分片的包fragmented packets,或者允许夹杂有网络攻击的恶意分片进入网络。这两种情况的问题都是潜在的安全威胁。2.4 状态检测处理的公共服务和协议FireWall-1对应用的状态的了解深度体现了CHECKPOINT几年来对各种应用和各种协议的研究和分析的成果。这个功能的核心是“TCP

9、packet reassembly”TCP包的重新组装。如果 FireWall-1 收到了分片的数据包之后,首先重新组装成原始格式,因此,对整个数据流,stream of data的分析符合协议的定义definitions ,以及包所承载的信息内容的合法性。状态检测防火墙必须对各种应用有很大深度的理解才能实现完全的网络保护。NetScreen 和Cisco 产品都不支持所有应用的“TCP packet reassembly” 在表1中,对号表示应用或者协议的状态基于安全目的进行维护。协议或应用 Check Point Cisco PIX NetScreen FireWall-1 IP Secu

10、rity Protocol (IPSec) Domain Naming Service (DNS) Internet Control Message Protocol (ICMP) General Packet Radio Service Tunneling Protocol (GTP) Session Initiation Protocol (SIP) 不完整HP Open View Services SUN Remote Procedure Call (RPC) Services Microsoft Distributed Component Object Model (DCOM) Mic

11、rosoft Exchange Services 协议或应用Check PointCisco PIXNetScreenIP Security Protocol (IPSec)Domain Naming Service (DNS)Internet Control Message Protocol (ICMP)General Packet Radio Service Tunneling Protocol (GTP)HP Open View ServicesSUN Remote Procedure Call (RPC) ServicesMicrosoft Distributed ComponentS

12、ession Initiation Protocol (SIP)Microsoft Distributed ComponentObject Model (DCOM)Microsoft Exchange Services3. 检测攻击和防御攻击3.1 Check Point 实现方法Check Point的状态检测引擎针对所有类型的网络攻击进行保护。这就包括简单的包破坏packet corruption attacks的攻击,以及更高级别的攻击例如:oversized packets、malicious use of IP packet options、SYN floods, 基于分片的攻击方式

13、自动地被FireWall-1阻止和记录blocked and logged。Check Point 的独特的可扩展的软件模式,可以很方便地应用于高水平的网络安全需求。 诸如隐藏内部mail domains, DNS确认,FTP, SMTP, HTTP和其他命令集的严格控制, 阻止Java 和 ActiveX, 以及基于用户的email尺寸限制,等等这些功能都可以在FireWall-1 policy editor中轻易实现。并且,Check Points FireWall-1 的SmartDefense技术具备一体化的防攻击能力。SmartDefense 可以检测和防止所有已知的攻击和已知攻击的

14、变种。SmartDefense也可以使管理员能够在线地很快地更新他们的安全策略。3.2 Cisco PIX 在检测攻击和防护攻击上的局限性Cisco PIX 防火墙不提供对恶意URL或者基于HTTP攻击的直接保护,远离网络攻击的威胁,例如Code Red。 Cisco建议用户用其他专门的入侵检测产品来防止攻击(CISCO也能提供IDS产品)。因此加上IDS同时也可以当WEB服务器受到威胁时减轻损失。 (例如,对WEB服务器的内部开放连接进行预防).3.3 NetScreen在检测攻击和防护攻击上的局限性尽管NetScreen确实提供了一些集成的攻击防护功能。但是这种方式缺乏关键的功能。一个 NetScreen防火墙不能抵御知名攻击well-known attacks的变种。(例如红色代码或尼姆达病毒) 。对于所有的NetScreen 设备,攻击特征码(例如一个恶意的URL)必须与防火墙数据库中的特征码精确的匹配才可以识别出来。 攻击的任何一个变种,不论

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 商业计划书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号