（竞争策略）状态检测技术以及竞争厂商对比.pdfVIP

（竞争策略）状态检测技术 以及竞争厂商对比 状态检测技术以及竞争厂商对比 为什么所有的状态检测防火墙且不完全相同？ 提纲 1 概述：防火墙安全 2 状态检测概念 StatefulInspection 2.1 不同防火墙实现状态检测的不同之处 2.2CiscoPIX 防火墙安全之缺陷 2.3NetScreen 防火墙安全之缺陷 2.4 状态检测处理的公共服务和协议 servicesandprotocols 3 检测攻击和防护攻击 3.1CheckPoint 的方法 3.2CiscoPIX 在检测攻击和防护攻击上的局限性 3.3NetScreen 在检测攻击和防护攻击上的局限性 3.4 攻击的防护能力 总结:CheckPoint 的状态检测技术是防火墙的工业标准 1 概述：防火墙安全 很多的防火墙产品的出现给网络安全管理者进行产品选型过程中出现困难。为了决定哪个产品是最安全的而 翻阅大量的市场和销售的文档令人头疼。本文针对防火墙选择过程提供壹些技术背景，解释且比较 CheckPoint 、Cisco 、NetScreen 提出的安全解决方案。 2.状态检测概念 StatefulInspection 状态检测由 CheckPointX 公司发明，是企业防火墙的事实上的技术标准。为了提供全面的安全解决方案，壹 个防火墙必须能跟踪和控制所有会话的 flow ，和原始的 “包过滤”技术不同，状态检测分析流入和流出网 络的 “流”，因此能够基于通讯会话信息（也可基于应用信息）做出实时的安全判断，这个结果通过跟踪穿 越防火墙网关的通讯会话的状态 state 和上下文来实现，不管这个连接 connection 包含多么复杂的协议。 2.1 不同防火墙实现状态检测的不同之处 状态防火墙所能提供的安全级别由是否能跟踪大量的数据和对数据是否进行了彻底的分析来决定。防火墙只 有跟踪每壹个通讯会话 session 的实际状态和许可会话所动态打开的TCP 或 UDP 端口。如果防火墙没有这个 能力，就必须打开壹个很大的端口范围来支持哪怕是最基本的 Internet 服务。防火墙如果不加鉴别地打开 壹定范围的端口将会在在安全配置上出现严重的可被利用的漏洞。为了跟踪上下文，壹个防火墙必须检查包 的内容以确保每个进入网络的数据包能匹配通讯会话原有的的参数或属性，这就能确保可疑的或恶意的数据 包和正常通讯数据包的上下文区别开来，因此不会威胁防火墙的安全，为了跟踪和处理某壹应用的状态 state 信息和上下文 context 信息，应用的信息被见作具有壹定状态的 traffic ，以下是壹个防火墙所应该 跟踪和分析的状态和上下文关系的例子： 状态和上下文信息 数据包的头信息(源地址、目的地址、协议、源端口、目的端口、包长度) 连接状态信息(哪壹个连接打开了哪壹个端口) TCP 和 IP 分段数据(例如：分段号、顺序号) 数据包重组、应用类型、上下文校验(即：包属于哪个通讯会话 session) 到防火墙的哪壹个接口上 从防火墙的哪壹个接口上出去 第二层信息（如VLANID 号) 数据包到达的日期和时间 真正的状态检测意味着能跟踪通讯的所有的状态和上下文信息，所以说，只有 CheckPointFireWall-1reg;‚能提供真正的状态检测StatefulInspection. 2.2CiscoPIX 防火墙安全之缺陷 尽管 Cisco 也讲他的技术是状态检测，可是 CiscoPIX 防火墙且不能够对所有支持的应用和服务提供状态安 全机制。因此，他所能提供的安全是不完整的。例如，PIX 不能处理MicrosoftExchange 服务的完整的状态 和上下文信息，CISCO 为了配置 PIX 能支持fMSExchange 服务,Cisco建议用户在要发 MAIL 的外部HOST 上打 开壹定范围的端口(TCP1024 到 65535) ，如果PIX 要维护 MSExchange 服务的状态，他将自动打开那些所需的应用和通讯会话的端口，Cisco 对 MSExchange 的支持方 式是违反安全惯例的：在防火墙上不加选择地打开壹定范围的没有用的可被利用的漏洞。且且，PIX 不理解 MSExchange 这种应用。由于不理解通讯的上下文，PIX 防火墙不能够阻止夹杂在合法的MSExchange 数据中 的能够数据包。对MSExchange 的处理方式是CiscoPIX 不能按照状态检测数据包的壹个简单例子。更多更全 面的对比，祥见表 1 . 2.3NetScreen 防火墙安全之缺陷 NetScreen 的状态检测的实现也是不完整的。Ne