NetEye 防火墙 V3.2  技术白皮书
目录
一、概述 (3)
二、体系结构:基于状态包过滤的流过滤 (3)
三、功能介绍 (7)
3.1 创新的高性能核心保护能力,基于状态包过滤的流过滤 (7)
bap组合3.2 可扩展的模块化的应用层协议支持 (7)
3.3 集成的VPN功能,方便快捷部署各种VPN (8)
3.4 与IDS联动,构建实时,动态防御体系 (8)
3.5 高可靠性和高可用性保护网络永不间断 (8)
3.6 人性化的GUI管理工具 (9)
3.7 多样化的管理方式 (13)
3.8 身份认证,角划分 (13)
3.9 完备的审计功能 (14)
3.10 其他重要特性 (14)
火车票放票时间段一、概述
目前市场上存在着各种各样的网络安全工具,而技术最成熟、最早产品化的就是防火墙,由于防火墙技术的针对性很强,它已成为实现Internet网络安全的最重要的保障之一。
NetEye防火墙V3.2型是NetEye防火墙系列中的优秀型号,达到了运营级的水准,是一个“运营级的防火墙”。该系统在状态包过滤的基础上,采用了专门设计的TCP协议栈实现对应用协议信息流的过滤,能够实现在透明方式下对应用层协议的控制。系统的整体结构严格按照国家应用级防火墙的最新标准设计,具备完善的身份鉴别、访问控制和审计能力。经国家权威部门检测,NetEye防火墙V3.2符合GB/T 18019-1999(包过滤防火墙安全技术要求)和GB/T 18020-1999(应用级防火墙安全技术要求)两个标准的技术要求。
NetEye防火墙V3.2是东软NetEye系列防火墙中采用流过滤技术的产品,基于状态包过滤的流过滤体系结构,保证从数据链路层到应用层的完全高性能过滤。系统的主要模块工作在操作系统的内核模式下,并对协议的处理进行了优化,其性能达到线速,完全满足高速、对性能要求苛刻网络的应用。
一句话表达对妈妈的爱系统达到了高可靠性和高可用性,从硬件体系结构的设计,系统内关键部件的冗余到仅需一秒的双机热备自动切换,保证网络永不间断。
简单强大的管理功能,保证您在10分钟内完成防火墙的配置,不影响原有网络的运行;丰富的GUI方式的管理和监控工具,能够方便的对系统进行安全策略配置、用户管理、在线监控、审计查询、流量管理等操作,方便用户进行故障检测,故障定位,性能检测,安全响应。
系统实现了对攻击的识别模块,能够有效的防范多种DoS的攻击手段,并能够对攻击事件进行各种方式的报警。
系统集成了VPN功能,延伸了防火墙保护的范围,可以方便、快捷的部署各种模式的VPN应用。
系统实现了与NetEye IDS联动,扩大了安全检测力度,动态地、自适应的调整安全策略,提高系统安全性。同时公布了NetEye的互动协议NAP协议,使得任何厂商的产品都可以实现与NetEye的互动。
系统实现了与防病毒软件联动,实时升级病毒库实施网络查杀病毒,完成网络防病毒体系结构,最大程度提高内联网络的安全性。
二、体系结构:基于状态包过滤的流过滤
防火墙所能起到的保护能力与其体系结构和运行机制有很大的关系,每一次体系结构上的演变都会带来防火墙功能的质的飞跃。防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护,而应用代理则更关心应用层的保护。
包过滤是历史最久远的防火墙技术,从实现上分,可以分为简单包过滤和状态检测的包过滤两种。
简单包过滤是对单个包的检查,目前绝大多数路由器产品都提供这样的功能。由于这类技术不能跟踪TCP的状态,所以对TCP层的控制是有漏洞的,比如当你在这样的产品上配置
了仅允许从内到外的TCP访问时,一些以TCP应答包的形式进行的攻击仍然可以从外部透过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善,1999年开始已经很少在主流产品中出现了。
状态检测的包过滤利用状态表跟踪每一个网络会话的状态,对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用,状态检测包过滤的性能也明显优于简单包过滤产品,尤其是在一些规则复杂的大型网络上。
应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术,通常的表现形式是一组代理的集合。代理的原理是彻底隔断两端的直接通信,所有通信都必须经应用层的代理转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说,状态检测包过滤规范了网络层和传输层行为,而应用代理则是规范了特定的应用协议上的行为。
状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术,但两种技术正在形成一种融合的趋势。
流过滤防火墙体系结构图
上官喜爱NetEye防火墙V3.2以状态检测包过滤为基础实现了一种称之为“流过滤”的结构,其基本的原理是以状态包过滤的形态实现对应用层的保护。通过内嵌的专门实现的TCP协议栈,在状态检测包过滤的基础上实现了透明的应用信息过滤机制。在这种机制下,从防火墙外部看,仍然是包过滤的形态,工作在链路层或IP层,在规则允许下,两端可以直接的访问,但是对于任何一个被规则允许的访问在防火墙内部都存在两个完全独立的TCP会话,数据是以“流”的方式从一个会话流向另一个会话,由于防火墙
尼坤车祸
的应用层策略位于流的中间,因此可以在任何时候代替服务器或客户端参与应用层的会话,从而起到了与应用代理防火墙相同的控制能力。比如在NetEye防火墙V3.2对SMTP协议的处理中,系统可以在透明网桥的模式下实现完全的对邮件的存储转发,并实现丰富的对SMTP协议的各种攻击的防范功能。
流过滤的结构继承了包过滤防火墙和应用代理的特点,因而非常容易部署。并且由于应用层安全策略与网络层安全策略是紧密的,所以在任何一种部署方式下,都能够起到相同的保护作用。以下分析了“流过滤”与“数据包内容过滤”,与“应用代理(网关)”的比较。
“流过滤”与“数据包内容过滤”的比较:
需要先明确一下,到目前为止,大量的包过滤防火墙仍完全不具备应用层保护能力,有些产品甚至连状态检测都不具备,这里所提到的“数据包内容过滤”是指那些能够提供对数据包内容进行检测的包过滤产品(这并不意味着能够检测连接状态,关于状态检测技术请参考本站文章《网络防火墙的体系结构》)。通过对比我们可以看到所谓“内容过滤”其实并不能提供真正意义上的应用层保护。
首先看看应用代理与数据包内容过滤的不同。应用代理之所以能够对应用层进行完整的保护,在于其借助操作系统的TCP协议栈对于出入网络的应用数据包进行完全重组,并从操作系统提供的接口(socket)中以数据流的方式提取应用层数据;而包过滤防火墙中的数据包内容过滤仅能对当前正在
通过的单一数据包的内容进行分析和判断,这两者在保护能力上存在本质的不同。
举个例子来说,一个携带攻击特征的URL访问可能有256个字节,如果它们在一个数据包中传送,那么两种技术的防火墙都能够发现并拦截,但是如果这个URL被TCP协议栈分解成10个小的IP数据包,并且以乱序的方式发送给目标服务器,则包过滤防火墙根本无法识别这个攻击的企图。而应用代理则完全不会受到干扰,依然能够识别并进行拦截,因为数据包在网关的TCP协议栈中被按照正确的顺序有效的重新组合成数据流后才到达防火墙的过滤模块,它看到的仍然是完整的数据流。
基于流过滤技术的NetEye防火墙 V3.2之所以能够提供等同于代理防火墙的应用层保护能力,关键在于其“流过滤”架构中的专用TCP协议栈。这个协议栈是个标准的TCP协议的实现,依据TCP协议的定义对出入防火墙的数据包进行了完整的重组,重组后的数据流交给应用层过滤逻辑进行过滤,从而可以有效的识别并拦截应用层的攻击企图。
烟台景点“流过滤”技术与“应用代理(网关)”技术的差别:
透明性差别:
应用代理建立在操作系统中提供的socket接口之上,提供这个接口的普通TCP协议栈是为主机对外提供服务和对外进行访问而实现的,为了使用这个协议栈进行数据包重组,防火墙本机必须存在TCP的
访问点,即IP地址和端口。这导致应用代理对于应用协议来说不可能是透明的,应用协议需要“知道”并且“允许”这个中间环节的存在。而这个条件在很多时候是不能够满足的。用户如果要部署应用代理防火墙,通常要对其网络拓扑结构和应用系统的部署进行调整。举一个简单的例子:我们必须在浏览器中设定代理网关的IP地址和端口才可能使浏览器按照存在一个中间代理的方式访问网站,换句话说,浏览器需要“知道”这个代理的存在。那么对于其他类型的应用协议呢?很多时候,应用协议的设计并不允许我们在其中增加一个过滤环节,这意味着代理防火墙提供应用保护的协议范围是十分有限的。
NetEye的流过滤结构则不同,它完全不需要用户调整网络结构和应用系统,它可以在防火墙的任何部署方式下提供完全一致的应用保护能力(NetEye防火墙V3.2支持路由模式和交换模式,前者在网络中等同于一个路由器,后者则相当于一个链路层的交换机,本身可以完全没有IP地址)。这意味着用户不需要为了获得应用层保护能力而改变网络结构和应用系统,甚至当用户改变防火墙的运行模式时,也完全不需要调整应用层的保护策略(过滤规则),它会与原来完全等同的效果去执行。
比如用户在一个已有的提供Web访问的服务器中又增加了一个Web服务器,并且使用IIS,那么用户仅需要在防火墙上增加一条针对IIS漏洞的应用过滤规则即可以达到对该服务器的保护的目的,而服务器本身则完全不需要考虑防火墙的存在。