【51CTO.com 綜合消息】何為紹WatchGuard 智能分層安全體系結(jié)構(gòu)的概念？該分布式系統(tǒng)智能所能帶來(lái)的更好的安全性，本文章將詳細(xì)為您解答，讓我們來(lái)看看ILS 中的每一個(gè)安全層在作些什么。

第一層 —— 外部安全服務(wù)

為了保證網(wǎng)絡(luò)運(yùn)行高效，在幫助管理員正確配置防火墻和相關(guān)系統(tǒng)的同時(shí)，補(bǔ)充網(wǎng)絡(luò)的一些外部安全服務(wù)是必須的，例如漏洞分析和桌面防毒系統(tǒng)等。在WatchGuard 的模型中，這個(gè)概念就表現(xiàn)為一個(gè)在防火墻外面工作的安全層，其完成了防火墻必須完成的一些網(wǎng)絡(luò)功能。外部安全服務(wù)更強(qiáng)調(diào)預(yù)防，它可以同其他分層有效地、安全地協(xié)同工作以達(dá)到最理想的效果。對(duì)于管理員來(lái)說(shuō)，整個(gè)網(wǎng)絡(luò)就成為了一個(gè)單一的實(shí)體，可以更安全、更簡(jiǎn)單的管理。

第二層 —— 數(shù)據(jù)完整性

數(shù)據(jù)完整性層是Firebox 的第一道防線。它會(huì)效驗(yàn)進(jìn)入設(shè)備的數(shù)據(jù)，確保其遵守?cái)?shù)據(jù)包協(xié)議規(guī)范。所有的網(wǎng)絡(luò)通訊都必須經(jīng)過(guò)這個(gè)層。這是一個(gè)最佳地?cái)r截攻擊的位置。而且對(duì)于數(shù)據(jù)流的處理也相當(dāng)快速，因?yàn)橹挥袃蓚€(gè)結(jié)果通過(guò)或阻斷。例如，這個(gè)數(shù)據(jù)包是否符合RFC標(biāo)準(zhǔn)？包頭信息是否超過(guò)了標(biāo)準(zhǔn)規(guī)定的長(zhǎng)度？如果是，數(shù)據(jù)包將被直接丟棄。這一層的主要職責(zé)是：

◆ 數(shù)據(jù)流標(biāo)準(zhǔn)化

通過(guò)IP 效驗(yàn)保護(hù)你的網(wǎng)絡(luò)，阻止任何畸形的TCP/IP 數(shù)據(jù)流流進(jìn)入下一層；利用WatchGuard 專利的反攻擊機(jī)制，發(fā)現(xiàn)并阻擋DoS、DDoS 和分片重組攻擊，保證正確的數(shù)據(jù)流順利通過(guò)并進(jìn)入下一層；例如防御IPSec、IKE、ICMP、UDP、SYN flood 攻擊等等；發(fā)現(xiàn)并攔截一下通訊：端口掃描、地址掃描、欺騙攻擊。

對(duì)數(shù)據(jù)流標(biāo)準(zhǔn)化檢測(cè)和對(duì)已知攻擊的攔截可以改善整體系統(tǒng)的性能，因?yàn)镮LS 能夠快速地處理這一層的數(shù)據(jù)，并保證后續(xù)其他層僅接收到正確的、合法的數(shù)據(jù)包。

第三層 —— 虛擬專網(wǎng)（VPN）

一旦數(shù)據(jù)流被確認(rèn)為有效的、標(biāo)準(zhǔn)的，ILS 接下來(lái)確認(rèn)該數(shù)據(jù)流是否為來(lái)自一個(gè)已知VPN連接點(diǎn)的加密流。如果是，VPN 層將對(duì)數(shù)據(jù)流解密并向下一層傳輸；如果該數(shù)據(jù)流是由未知的密鑰加密的，那么該通訊被阻斷。如果數(shù)據(jù)流不是加密的或不是來(lái)自一個(gè)已知VPN 連接點(diǎn)的，那么VPN 層將不作任何處理，數(shù)據(jù)流將被傳遞到下一層。VPN 層支持PPTP 和IPSec 協(xié)議，并可以組建移動(dòng)用戶VPN 和分支機(jī)構(gòu)間VPN 通訊。

通過(guò)正確的VPN 配置，你可以通過(guò)Internet，對(duì)外出的私有數(shù)據(jù)進(jìn)行安全地加密傳輸。

第四層 —— 狀態(tài)檢測(cè)防火墻

在這一層，管理員可以根據(jù)源IP 地址、目的IP 地址和通訊端口來(lái)設(shè)定數(shù)據(jù)流是否可以通過(guò)防火墻。ILS 的NAT 功能也在這一層得以執(zhí)行。

雖然很多種類的攻擊手段都依靠使用畸形包來(lái)獲得目的主機(jī)的響應(yīng)信息，但是個(gè)別遵守全部RFC 標(biāo)準(zhǔn)的包依然會(huì)含有惡意企圖。例如，一個(gè)黑客獲取了用戶網(wǎng)絡(luò)信息，那么他就可能會(huì)嘗試發(fā)送一個(gè)含有“Reply”標(biāo)記的包進(jìn)入用戶網(wǎng)絡(luò)，這樣就偽裝成了一個(gè)來(lái)自被訪問(wèn)的目的服務(wù)器響應(yīng)包。對(duì)于一臺(tái)非狀態(tài)檢測(cè)設(shè)備來(lái)說(shuō)，雖然也檢測(cè)2 層以上信息，但會(huì)認(rèn)為這就是來(lái)自目的服務(wù)器的響應(yīng)而允許其進(jìn)入用戶網(wǎng)絡(luò)。然而一臺(tái)狀態(tài)檢測(cè)設(shè)備就會(huì)知道，從來(lái)沒(méi)有向黑客的IP 地址發(fā)送過(guò)“請(qǐng)求”數(shù)據(jù)包，同時(shí)在內(nèi)部沒(méi)有發(fā)出“請(qǐng)求”時(shí)，也不允許一個(gè)“響應(yīng)”包通過(guò)并進(jìn)入網(wǎng)絡(luò)，這樣，狀態(tài)檢測(cè)設(shè)備就會(huì)丟棄那個(gè)偽裝的“響應(yīng)”包。

ILS 在這一層提供了這樣的狀態(tài)保護(hù)，并且進(jìn)一步地提高了其功能。狀態(tài)防火墻層會(huì)跟蹤所有會(huì)話的端口和協(xié)議信息，并為這些會(huì)話建立狀態(tài)表。當(dāng)發(fā)現(xiàn)一個(gè)攻擊行為時(shí)，同時(shí)會(huì)觸發(fā)攻擊躲避機(jī)制。通過(guò)這些，ILS 可以擊敗有目的性的攻擊，并且還可以避免由同一攻擊源重復(fù)攻擊所引起的防火墻負(fù)載升高。

第五層 —— 深度應(yīng)用檢測(cè)

通過(guò)了狀態(tài)檢測(cè)防火墻層的數(shù)據(jù)流被傳遞到深度應(yīng)用檢測(cè)層，在這里ILS 將判斷該數(shù)據(jù)流是否“適合使用”。如果不需要進(jìn)一步檢測(cè)，那么數(shù)據(jù)流將被直接轉(zhuǎn)發(fā)以達(dá)到最佳性能。在深度應(yīng)用檢測(cè)層，TCP 連接被終止了，并且在防火墻兩側(cè)重新建立新的連接。發(fā)出的數(shù)據(jù)包將被重新格式化以防止攻擊出現(xiàn)。

深度應(yīng)用檢測(cè)層可以發(fā)現(xiàn)、管理、防止或阻斷：協(xié)議異常、緩沖區(qū)溢出、未授權(quán)連接、TCP 劫持、網(wǎng)絡(luò)信息泄露；基于MIME 類型或模式的有害附件、病毒、蠕蟲(chóng)等（如*.bat, *.cmd, *.com,*.exe, *.hta, *.inf, *.pif, *.scr, *.wsh 等）、使用潛在的危險(xiǎn)命令；

在前面“更強(qiáng)大的安全 —— 智能分層安全如何工作”一節(jié)中，我們看到深度應(yīng)用檢測(cè)層防御攻擊的核心機(jī)制，它們是：協(xié)議異常分析（PAD）；模式匹配；命令限制；偽裝；過(guò)濾/攔截信息頭；

基于精確標(biāo)準(zhǔn)定義和策略判斷，深度應(yīng)用檢測(cè)層可以提供零日威脅防御來(lái)應(yīng)對(duì)更廣泛的攻擊類型，而且可以有效地減少誤報(bào)率。下面讓我們來(lái)看看ILS 如何在HTTP、SMTP、FTP、DNS 和TCP 這些核心應(yīng)用協(xié)議上作精細(xì)的控制。

◆ HTTP Client

HTTP Client 協(xié)議處理器可以很好地控制什么樣的信息流可以到達(dá)用戶的瀏覽器或其它HTTP 客戶端。管理員可以做到：攔截那些不嚴(yán)格遵守HTTP 協(xié)議RFC 標(biāo)準(zhǔn)的數(shù)據(jù)流；比如QQ 在使用TCP80 端口通訊時(shí)，因?yàn)闆](méi)有采用HTTP 協(xié)議標(biāo)準(zhǔn)，所以會(huì)被HTTP Client 協(xié)議處理器自動(dòng)攔截；很多在線視頻軟件也使用TCP 80 端口以示圖逃過(guò)防火墻策略控制，但傳輸?shù)膬?nèi)容因?yàn)闆](méi)有遵守HTTP 協(xié)議標(biāo)準(zhǔn)，同樣也會(huì)被HTTP Client 協(xié)議處理器自動(dòng)攔截；
 
利用模式匹配，檢測(cè)病毒、蠕蟲(chóng)、木馬等有害信息；可以刪除或阻擋Cookie、Applet、ActiveX 及未知的HTTP 頭信息；限制HTTP 請(qǐng)求的方法；控制HTTP 的命令；隱藏服務(wù)器信息；控制認(rèn)證方法；限制請(qǐng)求和訪問(wèn)頭類型，來(lái)防止畸形或未知的頭類型；控制附件類型； URL 地址控制；轉(zhuǎn)發(fā)數(shù)據(jù)流到IPS 模塊； 調(diào)用ILS 自動(dòng)攔截機(jī)制，減少處理同一攻擊源所消耗的負(fù)載；

◆ HTTP Server

HTTP Server 協(xié)議處理器可以很好地控制什么樣的信息流可以到達(dá)用戶的Web 服務(wù)器。它所能控制的內(nèi)容與HTTP Client 處理器是類似的，當(dāng)然也有一些差異。

◆ SMTP Incoming 或 Outgoing

我們所看到的大量破壞性攻擊都是混合型攻擊，例如蠕蟲(chóng)使用多重感染和繁殖的方法大量傳播，大多數(shù)蠕蟲(chóng)選擇使用SMTP（或者說(shuō)是郵件服務(wù)器）作為其傳播的載體。WatchGuard 的SMTP 協(xié)議處理器可以阻擋：存在潛在危險(xiǎn)的郵件附件；不合法的SMTP 命令；協(xié)議異常；SMTP 協(xié)議處理器可以將發(fā)送畸形數(shù)據(jù)流的站點(diǎn)自動(dòng)添加到攔截黑名單中，因此SMTP 協(xié)議處理器可以非常有效地對(duì)付這類攻擊。管理員在使用SMTP 協(xié)議處理器可以做到：攔截那些不嚴(yán)格遵守SMTP 協(xié)議RFC 標(biāo)準(zhǔn)的數(shù)據(jù)流；利用模式匹配，過(guò)濾附件名及MIME 類型；限制SMTP 命令及參數(shù)的使用；偽裝服務(wù)器信息；控制允許或不允許的郵件頭信息；控制郵件大??；限制最大收件人數(shù)量；限制郵件地址長(zhǎng)度；控制bat/CHUNKING、ETRN 和8-bit 或Binary MIME 在ESMTP 中的使用；控制ESMTP 認(rèn)證類型；控制SMTP 問(wèn)候語(yǔ)的長(zhǎng)度；SMTP 轉(zhuǎn)發(fā)保護(hù)；源、目的郵件地址黑白名單；轉(zhuǎn)發(fā)數(shù)據(jù)流到防病毒模塊；轉(zhuǎn)發(fā)數(shù)據(jù)流到IPS 模塊；調(diào)用ILS 自動(dòng)攔截機(jī)制，減少處理同一攻擊源所消耗的負(fù)載；

◆ FTP

WatchGuard 的FTP 協(xié)議處理器可以幫助管理員管理FTP 服務(wù)器，有效地控制FTP資源的使用： 攔截那些不嚴(yán)格遵守FTP 協(xié)議RFC 標(biāo)準(zhǔn)的數(shù)據(jù)流；強(qiáng)制會(huì)話超時(shí)；限制FTP 命令及參數(shù)的使用；偽裝服務(wù)器信息；限制如用戶名、口令、命令行、文件名的長(zhǎng)度；限制可以下載的文件類型；控制上傳文件及其路徑；轉(zhuǎn)發(fā)數(shù)據(jù)流到防病毒模塊；轉(zhuǎn)發(fā)數(shù)據(jù)流到IPS 模塊；調(diào)用ILS 自動(dòng)攔截機(jī)制，減少處理同一攻擊源所消耗的負(fù)載；

◆ DNS

一些黑客工具可以利用DNS 查詢和應(yīng)答來(lái)獲得你的DNS 服務(wù)器管理權(quán)，從而可以進(jìn)一步控制那些使用這臺(tái)DNS 服務(wù)器的用戶。這類攻擊使用畸形的DNS 請(qǐng)求包來(lái)傳遞惡意代碼。WatchGuard 的DNS 協(xié)議處理器可以檢測(cè)DNS 請(qǐng)求的頭部信息，并且可以阻斷那些可疑的內(nèi)容。DNS 協(xié)議處理器可以做到：攔截那些不嚴(yán)格遵守DNS 協(xié)議RFC 標(biāo)準(zhǔn)的數(shù)據(jù)流；偽裝服務(wù)器信息；DNS 包頭檢測(cè)，丟棄那些不正確的部分；控制DNS 代碼、查詢類型和查詢名稱；轉(zhuǎn)發(fā)數(shù)據(jù)流到IPS 模塊；調(diào)用ILS 自動(dòng)攔截機(jī)制，減少處理同一攻擊源所消耗的負(fù)載；

◆ TCP

TCP 協(xié)議處理器主要完成在防火墻兩側(cè)重新建立TCP 連接的過(guò)程。這就意味著，數(shù)據(jù)包被重新規(guī)范化并且得到了整合。這樣就可以更好地發(fā)現(xiàn)攻擊行為。TCP 協(xié)議處理器同時(shí)還可以處理使用非標(biāo)準(zhǔn)端口的HTTP 協(xié)議通訊，處理機(jī)制與HTTP 協(xié)議處理器一樣。

◆ IM 和P2P 攔截

WatchGuard 的TCP/TCP-UDP 協(xié)議處理器可以有選擇地?cái)r截IM 服務(wù)，例如AIM、Yahoo、IRC 和MSN Messenger 等。這就可以防止基于IM 的安全威脅。例如很多攻擊者可以利用IM 通訊來(lái)控制你的PC，或者通過(guò)IM 通訊傳播有害文件。

同樣，我們也可以有選擇地?cái)r截P2P 服務(wù)，例如Napster、GNUtella、Kazaa、Morpheus、BitTorrent、eDonkey2000、Phatbot 等等。P2P 應(yīng)用會(huì)大量占用有限的網(wǎng)絡(luò)帶寬；同時(shí)也是傳播間諜軟件的途徑。WatchGuard 可以很好地控制P2P 的通訊。

第六層 —— 內(nèi)容安全

內(nèi)容安全層很有針對(duì)性地對(duì)一些協(xié)議數(shù)據(jù)流作更深一步的檢測(cè)。在這一層里，對(duì)用戶來(lái)說(shuō)安全服務(wù)都是可選項(xiàng)目，這包括網(wǎng)關(guān)防病毒服務(wù)、入侵防御服務(wù)、反垃圾郵件和URL 分類過(guò)濾。