第1页共7页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共7页状态检测技术以及竞争厂商对比------为什么所有的状态检测防火墙并不完全相同?提纲1概述:防火墙安全2状态检测概念StatefulInspection2.1不同防火墙实现状态检测的不同之处第2页共7页第1页共7页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共7页2.2CiscoPIX防火墙安全之缺陷2.3NetScreen防火墙安全之缺陷2.4状态检测处理的公共服务和协议servicesandprotocols3检测攻击和防护攻击3.1CheckPoint的方法3.2CiscoPIX在检测攻击和防护攻击上的局限性3.3NetScreen在检测攻击和防护攻击上的局限性3.4攻击的防护能力总结:CheckPoint的状态检测技术是防火墙的工业标准1概述:防火墙安全很多的防火墙产品的出现给网络安全管理者进行产品选型过程中出现困难。为了决定哪个产品是最安全的而翻阅大量的市场和销售的文档令人头疼。本文针对防火墙选择过程提供一些技术背景,解释并比较CheckPoint、Cisco、NetScreen提出的安全解决方案。2.状态检测概念StatefulInspection状态检测由CheckPoint公司发明,是企业防火墙的事实上的技术标准。为了提供全面的安全解决方案,一个防火墙必须能跟踪和控制所有会话的flow,与原始的“包过滤”技术不同,状态检测分析流入和流出网络的“流”,因此可以基于通讯会话信息(也可基于应用信息)做出实时的安全判断,这个结果通过跟踪穿越防火墙网关的通讯会话的状态state和上下文来实现,不管这个连接connection包含多么复杂的协议。2.1不同防火墙实现状态检测的不同之处状态防火墙所能提供的安全级别由是否能跟踪大量的数据和对数据是否进行了彻底的分析来决定。防火墙只有跟踪每一个通讯会话session的实际状态和许可会话所动态打开的TCP或UDP端口。如果防火墙没有这个能力,就必须打开一个很大的端口范围来支持哪怕是最基本的Internet服务。防火墙如果不加鉴别地打开一定范围的端口将会在在安全配置上出现严重的可被利用的漏洞。为了跟踪上下文,一个防火墙必须检查包的内容以确保每个进入网络的数据包能匹配通讯会话原有的的参数或属性,这就能确保可疑的或恶意的数据包与正常通讯数据包的上下文区别开来,因此不会威胁防火墙的安全,为了跟踪和处理某一应用的状态state信息和上下文context信息,应用的信息被看作具有一定状态的traffic,以下是一个防火墙所应该跟踪和分析的状态和上下文关系的例子:状态和上下文信息数据包的头信息(源地址、目的地址、协议、源端口、目的端口、包长度)连接状态信息(哪一个连接打开了哪一个端口)TCP和IP分段数据(例如:分段号、顺序号)数据包重组、应用类型、上下文校验(即:包属于哪个通讯会话session)到防火墙的哪一个接口上从防火墙的哪一个接口上出去第二层信息(如VLANID号)数据包到达的日期和时间第3页共7页第2页共7页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共7页真正的状态检测意味着能跟踪通讯的所有的状态和上下文信息,所以说,只有CheckPointFireWall-1®‚能提供真正的状态检测StatefulInspection.2.2CiscoPIX防火墙安全之缺陷尽管Cisco也讲他的技术是状态检测,但是CiscoPIX防火墙并不能够对所有支持的应用和服务提供状态安全机制。因此,他所能提供的安全是不完整的。例如,PIX不能处理MicrosoftExchange服务的完整的状态和上下文信息,CISCO为了配置PIX能支持fMSExchange服务,Cisco建议用户在要发MAIL的外部HOST上打开一定范围的端口(TCP1024到65535),如果PIX要维护MSExchange服务的状态,他将自动打开那些所需的应用和通讯会话的端口,Cisco对MSExchange的支持方式是违反安全惯例的:在防火墙上不加选择地打开一定范围的没有用的可被利用的漏洞。并且,PIX不理解MSExchange这种应用。由于不理解通讯的上下文,PIX防火墙不能够阻止夹杂在合法的MSExchange数据中的可以数据包。对MSExchange的处理方式是CiscoPIX不能按照状态检测数据包的一个简单例子。更多更全面的对比,祥见表1.2.3NetScreen防火墙安全之缺陷NetScreen的状态检测的实现也是不完整的。NetScree...
