随着互联网的发展和攻击者工具与手法的升级,单纯的防火墙已难以满足网络与信息安全的要求,网络管理需要考虑整个安全体系的综合协调性。 大多数单位利用基于主机的防病毒、内容过滤来对付应用级攻击,但这却带来了需要不断升级、网络性能下降和成本增加的问题。在网络界面防病毒/蠕虫,对应用层内容进行过滤代表着一种网络安全的新理念。
新的复合型防火墙关注内容过滤
第四代防火墙系列,通常指综合了状态检测与透明代理的复合型防火墙,更先进的产品是,它进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里, 其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
网络防御网关通过硬件和软件相结合,使线速处理数据包内容、加密、复杂内容和行为扫描功能得到优化,提供一套完整的服务,它通常包括以下功能:防火墙、病毒/蠕虫检测和消除、根据URL或关键词/词组过滤内容、拒绝服务检测和防止、VPN、入侵检测及流量控制。
FortiGate防火墙流量流程图
应用层的内容过滤与网络端口处理相比,要求大量的计算资源,很多情况下高达100倍甚至更高。 因而,如果在网络边缘对内容进行处理,带来的问题是必然严重影响到性能的下降。这就是所谓的内容处理障碍。为了突破内容处理障碍,达到实时地分析网络内容和行为,需要采用行为加速和内容分析新技术,方能避免影响系统性能。
将基于主机和基于网络的防病毒和内容过滤相比较, 当前常见的基于主机的解决方案不仅成本高, 而且有局限性。用软件实现的办法使系统速率上不去,它还必须经常对每一台主机及时进行软件升级;如果用URL来阻挡Web内容过滤,防止基于黑名单的攻击同样不尽人意;比较好的方法是在网络界面提供防病毒和内容过滤服务。这样最有效,例如防火墙+VPN网关+入侵检测系统这样的综合型防火墙。
内容过滤的瓶颈在速度
为了从技术上突破在内容处理上的障碍,需要重点在加速上采取有效的办法。网络防御网关(NPG)的典型实例就是Fortinet公司构筑的基于ASIC体系结构的FortiGate“网络防御网关”。这是一个集防火墙、防病毒、内容过滤、VPN、入侵检测和流量控制功能于一体的产品,也是以全新理念推出的对应用层内容过滤的网络安全产品。
该网络防御网关主要在设计中采用以下三项关键技术:一,定制专用的高性能硬件体系和ASIC快速内容过滤和病毒扫描。该技术的核心是其特有的ASIC体系结构, 由FortiASIC内容处理器和FortiOS操作系统组成, 高速背板和多CPU处理带来速度的优势。
二,采用专利的“行为加速和内容分析技术(ABACAS)”,这是保障高性能的基础。在芯片设计上体现了对内容和行为扫描有效的流程,特别是用专用数据总线来减少对内存的存取, 降低额外消耗,以达到在网络边界部署应用层防护措施的目的。
三,内容处理器包括功能强大的特征扫描引擎。这能使很大范围类型的内容与成千上万种病毒“特征”、 入侵攻击、 关键词或其它模式的“特征”相匹配。 另外,该ASIC还包括加密加速引擎, 以支持高性能VPN加密和解密。
过滤清晰的关键要“看得清”
内容过滤处理是一个复杂而又快捷的过程。 以FortiGate网关为例,它能“看到”隧道内部,防止有害成分进入专用网络。其内容过滤扫描的工作原理, 可以用以上图来说明。
如图所示,当流量进入防火墙时,凡是与预先定义的内容协议组(例如HTTP、SNMP、POP3 和IMAP)相匹配的所有内容流量,首先被引导到 FortiTCPIP栈。 这是一个由硬件支持的栈引擎。当网关接收到网络流量时,内容扫描即开始。内容流一开始被接收时,FortiTCPIP栈先建立到客户端(Client)和服务器端(Server)的连接,然后栈接收数据包,把IP包转换为基于会话的内容流(Content Stream)。高性能的、由硬件辅助的FortiTCPIP栈控制所有的内容协议处理。FortiTCPIP栈产生内容流送到业务类型区分器。业务类型区分器的作用是将内容流按照它们的业务类型而被分开。内容协议携带Web流量(HTTP)、邮件流量(SMTP、POP3、 IMAP)和其它类型协议。 经过分类的内容流下一步被输送到相关的命令解析器(Parser),它们能解析和理解高层协议。POP3和HTTP协议分别进入POP3命令解析器和HTTP命令解析器。命令解析器分析内容流的内容,这里面有可能包含了病毒/蠕虫、禁止的内容或其它攻击性内容、网络入侵等。例如,如果内容流是HTTP流,HTTP命令解析器扫描上送和下载的文件;如果内容流是邮件流,POP3命令解析器扫描邮件附件或嵌入的代码。从命令解析器(或称解析状态机器)输出,分别馈送到相应不同的扫描引擎,即病毒扫描引擎和内容扫描引擎,进行扫描处理;如果数据流包含上送/下载的文件或邮件附件,它就被送入病毒扫描引擎。 所有其它内容则被路由到内容过滤引擎。
