WatchGuard智能分層安全引擎的詳細描述
【51CTO.com 綜合消息】何為紹WatchGuard 智能分層安全體系結構的概念?該分布式系統智能所能帶來的更好的安全性,本文章將詳細為您解答,讓我們來看看ILS 中的每一個安全層在作些什么。
第一層 —— 外部安全服務
為了保證網絡運行高效,在幫助管理員正確配置防火墻和相關系統的同時,補充網絡的一些外部安全服務是必須的,例如漏洞分析和桌面防毒系統等。在WatchGuard 的模型中,這個概念就表現為一個在防火墻外面工作的安全層,其完成了防火墻必須完成的一些網絡功能。外部安全服務更強調預防,它可以同其他分層有效地、安全地協同工作以達到最理想的效果。對于管理員來說,整個網絡就成為了一個單一的實體,可以更安全、更簡單的管理。
第二層 —— 數據完整性
數據完整性層是Firebox 的第一道防線。它會效驗進入設備的數據,確保其遵守數據包協議規范。所有的網絡通訊都必須經過這個層。這是一個最佳地攔截攻擊的位置。而且對于數據流的處理也相當快速,因為只有兩個結果通過或阻斷。例如,這個數據包是否符合RFC標準?包頭信息是否超過了標準規定的長度?如果是,數據包將被直接丟棄。這一層的主要職責是:
◆ 數據流標準化
通過IP 效驗保護你的網絡,阻止任何畸形的TCP/IP 數據流流進入下一層;利用WatchGuard 專利的反攻擊機制,發現并阻擋DoS、DDoS 和分片重組攻擊,保證正確的數據流順利通過并進入下一層;例如防御IPSec、IKE、ICMP、UDP、SYN flood 攻擊等等;發現并攔截一下通訊:端口掃描、地址掃描、欺騙攻擊。
對數據流標準化檢測和對已知攻擊的攔截可以改善整體系統的性能,因為ILS 能夠快速地處理這一層的數據,并保證后續其他層僅接收到正確的、合法的數據包。
第三層 —— 虛擬專網(VPN)
一旦數據流被確認為有效的、標準的,ILS 接下來確認該數據流是否為來自一個已知VPN連接點的加密流。如果是,VPN 層將對數據流解密并向下一層傳輸;如果該數據流是由未知的密鑰加密的,那么該通訊被阻斷。如果數據流不是加密的或不是來自一個已知VPN 連接點的,那么VPN 層將不作任何處理,數據流將被傳遞到下一層。VPN 層支持PPTP 和IPSec 協議,并可以組建移動用戶VPN 和分支機構間VPN 通訊。
通過正確的VPN 配置,你可以通過Internet,對外出的私有數據進行安全地加密傳輸。
第四層 —— 狀態檢測防火墻
在這一層,管理員可以根據源IP 地址、目的IP 地址和通訊端口來設定數據流是否可以通過防火墻。ILS 的NAT 功能也在這一層得以執行。
雖然很多種類的攻擊手段都依靠使用畸形包來獲得目的主機的響應信息,但是個別遵守全部RFC 標準的包依然會含有惡意企圖。例如,一個黑客獲取了用戶網絡信息,那么他就可能會嘗試發送一個含有“Reply”標記的包進入用戶網絡,這樣就偽裝成了一個來自被訪問的目的服務器響應包。對于一臺非狀態檢測設備來說,雖然也檢測2 層以上信息,但會認為這就是來自目的服務器的響應而允許其進入用戶網絡。然而一臺狀態檢測設備就會知道,從來沒有向黑客的IP 地址發送過“請求”數據包,同時在內部沒有發出“請求”時,也不允許一個“響應”包通過并進入網絡,這樣,狀態檢測設備就會丟棄那個偽裝的“響應”包。
ILS 在這一層提供了這樣的狀態保護,并且進一步地提高了其功能。狀態防火墻層會跟蹤所有會話的端口和協議信息,并為這些會話建立狀態表。當發現一個攻擊行為時,同時會觸發攻擊躲避機制。通過這些,ILS 可以擊敗有目的性的攻擊,并且還可以避免由同一攻擊源重復攻擊所引起的防火墻負載升高。
第五層 —— 深度應用檢測
通過了狀態檢測防火墻層的數據流被傳遞到深度應用檢測層,在這里ILS 將判斷該數據流是否“適合使用”。如果不需要進一步檢測,那么數據流將被直接轉發以達到最佳性能。在深度應用檢測層,TCP 連接被終止了,并且在防火墻兩側重新建立新的連接。發出的數據包將被重新格式化以防止攻擊出現。
深度應用檢測層可以發現、管理、防止或阻斷:協議異常、緩沖區溢出、未授權連接、TCP 劫持、網絡信息泄露;基于MIME 類型或模式的有害附件、病毒、蠕蟲等(如*.bat, *.cmd, *.com,*.exe, *.hta, *.inf, *.pif, *.scr, *.wsh 等)、使用潛在的危險命令;
在前面“更強大的安全 —— 智能分層安全如何工作”一節中,我們看到深度應用檢測層防御攻擊的核心機制,它們是:協議異常分析(PAD);模式匹配;命令限制;偽裝;過濾/攔截信息頭;
基于精確標準定義和策略判斷,深度應用檢測層可以提供零日威脅防御來應對更廣泛的攻擊類型,而且可以有效地減少誤報率。下面讓我們來看看ILS 如何在HTTP、SMTP、FTP、DNS 和TCP 這些核心應用協議上作精細的控制。
◆ HTTP Client
HTTP Client 協議處理器可以很好地控制什么樣的信息流可以到達用戶的瀏覽器或其它HTTP 客戶端。管理員可以做到:攔截那些不嚴格遵守HTTP 協議RFC 標準的數據流;比如QQ 在使用TCP80 端口通訊時,因為沒有采用HTTP 協議標準,所以會被HTTP Client 協議處理器自動攔截;很多在線視頻軟件也使用TCP 80 端口以示圖逃過防火墻策略控制,但傳輸的內容因為沒有遵守HTTP 協議標準,同樣也會被HTTP Client 協議處理器自動攔截;
利用模式匹配,檢測病毒、蠕蟲、木馬等有害信息;可以刪除或阻擋Cookie、Applet、ActiveX 及未知的HTTP 頭信息;限制HTTP 請求的方法;控制HTTP 的命令;隱藏服務器信息;控制認證方法;限制請求和訪問頭類型,來防止畸形或未知的頭類型;控制附件類型; URL 地址控制;轉發數據流到IPS 模塊; 調用ILS 自動攔截機制,減少處理同一攻擊源所消耗的負載;
◆ HTTP Server
HTTP Server 協議處理器可以很好地控制什么樣的信息流可以到達用戶的Web 服務器。它所能控制的內容與HTTP Client 處理器是類似的,當然也有一些差異。
◆ SMTP Incoming 或 Outgoing
我們所看到的大量破壞性攻擊都是混合型攻擊,例如蠕蟲使用多重感染和繁殖的方法大量傳播,大多數蠕蟲選擇使用SMTP(或者說是郵件服務器)作為其傳播的載體。WatchGuard 的SMTP 協議處理器可以阻擋:存在潛在危險的郵件附件;不合法的SMTP 命令;協議異常;SMTP 協議處理器可以將發送畸形數據流的站點自動添加到攔截黑名單中,因此SMTP 協議處理器可以非常有效地對付這類攻擊。管理員在使用SMTP 協議處理器可以做到:攔截那些不嚴格遵守SMTP 協議RFC 標準的數據流;利用模式匹配,過濾附件名及MIME 類型;限制SMTP 命令及參數的使用;偽裝服務器信息;控制允許或不允許的郵件頭信息;控制郵件大小;限制最大收件人數量;限制郵件地址長度;控制bat/CHUNKING、ETRN 和8-bit 或Binary MIME 在ESMTP 中的使用;控制ESMTP 認證類型;控制SMTP 問候語的長度;SMTP 轉發保護;源、目的郵件地址黑白名單;轉發數據流到防病毒模塊;轉發數據流到IPS 模塊;調用ILS 自動攔截機制,減少處理同一攻擊源所消耗的負載;
◆ FTP
WatchGuard 的FTP 協議處理器可以幫助管理員管理FTP 服務器,有效地控制FTP資源的使用: 攔截那些不嚴格遵守FTP 協議RFC 標準的數據流;強制會話超時;限制FTP 命令及參數的使用;偽裝服務器信息;限制如用戶名、口令、命令行、文件名的長度;限制可以下載的文件類型;控制上傳文件及其路徑;轉發數據流到防病毒模塊;轉發數據流到IPS 模塊;調用ILS 自動攔截機制,減少處理同一攻擊源所消耗的負載;
◆ DNS
一些黑客工具可以利用DNS 查詢和應答來獲得你的DNS 服務器管理權,從而可以進一步控制那些使用這臺DNS 服務器的用戶。這類攻擊使用畸形的DNS 請求包來傳遞惡意代碼。WatchGuard 的DNS 協議處理器可以檢測DNS 請求的頭部信息,并且可以阻斷那些可疑的內容。DNS 協議處理器可以做到:攔截那些不嚴格遵守DNS 協議RFC 標準的數據流;偽裝服務器信息;DNS 包頭檢測,丟棄那些不正確的部分;控制DNS 代碼、查詢類型和查詢名稱;轉發數據流到IPS 模塊;調用ILS 自動攔截機制,減少處理同一攻擊源所消耗的負載;
◆ TCP
TCP 協議處理器主要完成在防火墻兩側重新建立TCP 連接的過程。這就意味著,數據包被重新規范化并且得到了整合。這樣就可以更好地發現攻擊行為。TCP 協議處理器同時還可以處理使用非標準端口的HTTP 協議通訊,處理機制與HTTP 協議處理器一樣。
◆ IM 和P2P 攔截
WatchGuard 的TCP/TCP-UDP 協議處理器可以有選擇地攔截IM 服務,例如AIM、Yahoo、IRC 和MSN Messenger 等。這就可以防止基于IM 的安全威脅。例如很多攻擊者可以利用IM 通訊來控制你的PC,或者通過IM 通訊傳播有害文件。
同樣,我們也可以有選擇地攔截P2P 服務,例如Napster、GNUtella、Kazaa、Morpheus、BitTorrent、eDonkey2000、Phatbot 等等。P2P 應用會大量占用有限的網絡帶寬;同時也是傳播間諜軟件的途徑。WatchGuard 可以很好地控制P2P 的通訊。
第六層 —— 內容安全
內容安全層很有針對性地對一些協議數據流作更深一步的檢測。在這一層里,對用戶來說安全服務都是可選項目,這包括網關防病毒服務、入侵防御服務、反垃圾郵件和URL 分類過濾。
