防火墙的高级检测技术.doc

防火墙的高级检测技术多年来，企业一直依靠状态检测防火墙、入侵检测系统、基于主机的防病毒系统和反垃圾邮件解决方案来保证企业用户和资源的安全但是情况在迅速改变，那些传统的单点防御安全设备面临新型攻击已难以胜任为了检测出最新的攻击，安全设备必须提高检测技术本文着重介绍针对未知的威胁和有害流量的检测与防护，在防火墙中多个前沿的检测技术组合在一起，提供启发式扫描和异常检测，增强防病毒、反垃圾邮件和其它相关的功能新一代攻击的特点1、混合型攻击使用多种技术的混合－—如病毒、蠕虫、木马和后门攻击，往往通过Email和被感染的网站发出，并很快的传递到下一代攻击或攻击的变种，使得对于已知或未知的攻击难以被阻挡这种混合型攻击的例子有Nimda、CodeRed和Bugbear等2、现在针对新漏洞的攻击产生速度比以前要快得多防止各种被称之为“零小时"（zero-hour）或“零日”（zero-day）的新的未知的威胁变得尤其重要3、带有社会工程陷阱元素的攻击，包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等数量明显的增加攻击者们伪造合法的应用程序和邮件信息来欺骗用户去运行它们4嬪秤灯果潭:GutnerWwdiia/NocniBlaster图1Gartner发布的漏洞与补丁时间表传统的安全方法正在失效如今最流行的安全产品是状态检测防火墙、入侵检测系统和基于主机的防病毒软件。

但是它们面对新一代的安全威胁却作用越来越小状态检测防火墙是通过跟踪会话的发起和状态来工作的状态检测防火墙通过检查数据包头，分析和监视网络层（L3）和协议层（L4），基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量传统防火墙的问题在于黑客已经研究出大量的方法来绕过防火墙策略这些方法包括：（1）利用端口扫描器的探测可以发现防火墙开放的端口2）攻击和探测程序可以通过防火墙开放的端口穿越防火墙3）PC上感染的木马程序可以从防火墙的可信任网络发起攻击由于会话的发起方来自于内部，所有来自于不可信任网络的相关流量都会被防火墙放过当前流行的从可信任网络发起攻击应用程序包括后门、木马、键盘记录工具等，它们产生非授权访问或将私密信息发送给攻击者较老式的防火墙对每一个数据包进行检查，但不具备检查包负载的能力病毒、蠕虫、木马和其它恶意应用程序能未经检查而通过当攻击者将攻击负载拆分到多个分段的数据包里，并将它们打乱顺序发出时，较新的深度包检测防火墙往往也会被愚弄对深度检测的需求现今为了成功的保护企业网络，安全防御必须部署在网络的各个层面，并采用更新的检测和防护机制用于增强现有安全防御的一些新型安全策略包括：设计较小的安全区域来保护关键系统。

增加基于网络的安全平台，以提供（“in-line”）检测和防御采用统一威胁管理（UnifiedThreatManagement,简称UTM），提供更好的管理、攻击关联，降低维护成本研究有效的安全策略，并培训用户增加基于网络的安全基于网络的安全设备能够部署在现有的安全体系中来提高检测率，并在有害流量进入公司网络之前进行拦截基于网络的安全设备（“in-line”）部署，阻挡攻击的能力要比传统的依靠镜像流量的“旁路式”安全设备强得多基于网络的安全设备的例子包括入侵防御系统（IPS）、防病毒网关、反垃圾邮件网关和统一威胁管理（UTM）设备UTM设备是将多种安全特性相结合的统一安全平台除了实时阻挡攻击之外，基于网络的安全还包括以下优点：减少维护成本攻击特征、病毒库和探测引擎可以对单台设备而不是上百台主机更新升级对于用户、系统或者应用来说是透明的，无需停机，更新可以实时进行——不像操作系统和应用程序打补丁那样需要重启系统保护在基于网络的安全设备后面的所有主机，因此减少了基于主机的病毒特征库、操作系统补丁和应用程序补丁升级的急迫性，使IT专业人员在发生问题之前有较充分的时间来测试补丁保持以前使用的设备、操作系统和应用，无需将它们都升级到最新的版本。

在网络边界或关键节点上阻挡攻击，在恶意流量进入公司网络之前将其拦截不像基于主机的安全应用那样可能被最终用户或恶意程序关闭可与已有的安全技术共存并互补高级安全检测技术作为UTM安全设备的领导厂商，Fortinet（飞塔）公司的FortiGate安全平台通过动态威胁防御技术、高级启发式异常扫描引擎提供了较好的检测能力，包括：集成关键安全组件的状态检测防火墙可实时更新病毒和攻击特征的网关防病毒IDS和IPS预置一千多个攻击特征，并提供用户定制特征的机制VPN（支持PPTP、L2TP、IPSec,和SSLVPN）反垃圾邮件具备多种用户自定义的阻挡机制，包括黑白名单和实时黑名单（RBL）Web内容过滤具有用户可定义的过滤和全自动过滤服务带宽管理防止带宽滥用用户认证，防止非授权的网络访问动态威胁防御提供先进的威胁关联技术ASIC加速提供比基于PC工控机的安全方案高出4-6倍的性能加固的操作系统，不含第三方组件，保证了物理上的安全完整的系列支持服务，包括日志和报告生成器、客户端安全组件动态威胁防御系统Fortinet的动态威胁防御系统（DTPS）是超越传统防火墙、针对已知和未知威胁、提升检测能力的技术。

它将防病毒、IDS、IPS和防火墙模块中的有关攻击的信息进行关联，并将各种安全模块无缝地集成在一起DTPS技术使每一个安全功能之间可以互相通信，并关联“威胁索引”信息，以识别可疑的恶意流量，这些流量可能还未被提取攻击特征通过跟踪每一安全组件的检测活动，DTPS能降低误报率，以提高整个系统的检测精确度相比之下，由多个不同厂商的安全部件（防病毒、IDS、IPS、防火墙）组合起来的安全方案则缺乏协调检测工作的能力61aicn「訪火険块堆启发式扌一1描检测体系结构0动态威胁阴御系统ft>打描引華引率图2动态威胁防御系统的体系结构图为了使性能达到最佳，所有会话流量首先被每一个安全和检测引擎使用已知特征进行分析特征模式结合由硬件加速的精简模式识别语言是当前识别已知攻击最快的方法如果发现了特征的匹配，DTPS按照在行为策略中定义的规则来处理有害流量——丢弃、重置客户端、重置服务器、中止会话等安全防护响应网络可提供病毒库、IDS/IPS特征以及安全引擎最新版本，以保持实时更新这就保证了基于最新特征的威胁会被识别出来，并被快速阻挡如果不能找到特征的匹配，系统就会启动启发式扫描和异常检测引擎，会话流量会得到进一步的仔细检查，以发现异常。

通过使用最新的启发式扫描技术、异常检测技术和动态威胁防御系统，安全平台大大提高了对已知和未知威胁的防御能力。