从最简单的分组过滤防火墙到应用层网关,自诞生之日开始,防火墙日益承担起越来越多的网络安全角色。近年来,一项创新的防火墙技术正广泛的获得应用,这就是被称为深度包检测的DIP(Deep Packet Inspection)技术。
历史回顾
在深入了解深度包检测技术之前,我们首先来回顾一下防火墙检测技术发展的历史。这些检测技术并没有随着科技的前进而消失。相反,正是以这些技术为基础,才发展出了更多先进的功能元素。
最早出现并获得广泛应用的分组过滤式防火墙可以被称为第一代防火墙。最基本的分组过滤防火墙会根据第三层的参数(如源IP地址和目标IP地址)检查通过网络的数据包,再由内建在防火墙中的分组过滤规则依据这些参数来确定哪些数据包被放行,哪些数据包被阻隔。之后又出现了应用层网关防火墙,这种防火墙经常被称为基于代理服务器的防火墙,因为它会代表各种网络客户端执行应用层连接,即提供代理服务。应用层网关的工作方式与分组过滤技术有很大的不同,其所有访问都在应用层(OSI模型的第七层)中控制,并且也没有任何网络客户端能直接与服务端进行通信,如图1所示。
图1 防火墙检测原理
而在目前,得到最广泛应用的主流过滤技术是状态检测(Stateful Inspection)。它的工作方式类似于分组过滤防火墙,只是采用了更复杂的访问控制算法。状态检测型防火墙和分组过滤防火墙实质上都是通过控制决策来提供安全保护的,只是状态检测型防火墙除了可以利用第三层网络参数执行决策之外,还可以利用网络连接及应用服务的各种状态来执行决策。另外,所执行的决策也不仅限于数据包的放行与阻隔,类似加密这样的处理也可以作为一种控制决策被执行,如图2所示。
图2 状态检测
状态检测型防火墙不仅可以根据第三层参数决定有关信息传输是放行还是拒绝,还能够理解连接的当前状态(例如相关连接是处于建立阶段还是数据传输阶段)。防火墙处理的所有数据传输都会被传送到一个状态检测引擎,其中汇集了相应的访问规则。
通过维护一个连接状态表,标识出通过防火墙的每条活动连接以及与之关联的第三层参数。如果连接状态表中确实含有一条连接的记录,状态检测引擎才允许该连接的返回信息通过。而且在连接建立之后,防火墙可以通过检查TCP顺序号这样更高级的连接属性,来验证相关的信息传输确实与基本的第三层参数匹配,是合法且没有欺诈的。
就状态检测型防火墙与应用层网关相比较而言,由于状态检测引擎了解应用层的情况,因此状态检测型防火墙所具有的安全保护水平与应用层网关基本相同,且状态检测型防火墙更加灵活,比应用层网关具有更好的扩展能力。因为它可以在应用程序一级保证通信的完整性,而不需要代表客户机/服务器在连接的两端对所有连接进行代理处理。所以说,利用状态检测技术设计的防火墙既提供了分组过滤防火墙的处理速度和灵活性,又兼具应用层网关理解应用程序状态的能力与高度的安全性。
深度包检测技术综述
通常,深度包检测技术深入检查通过防火墙的每个数据包及其应用载荷。虽然只检测包头部分是一种更加经济的方式,但是很多恶意行为可能隐藏在数据载荷中,通过防御边界在安全体系内部产生严重的危害。因为数据载荷中可能充斥着垃圾邮件、广告视频以及企业所不欣赏的P2P传输,而各种电子商务程序的HTML和XML格式数据中也可能夹带着后门和木马程序在网络节点之间交换。所以,在应用形式及其格式以爆炸速度增长的今天,仅仅依照数据包的第三层信息决定其是否准入,实在无法满足安全的要求。
深度包检测引擎以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集,决定如何处理数据包。举例来说,检测引擎将数据包载荷中的数据与预先定义的攻击指纹进行对比,以判定数据传输中是否含有恶意攻击行为,同时引擎利用已有的统计学数据执行模式匹配,辅助这种判断的执行。利用深度包检测技术可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及类似尼姆达这样的蠕虫病毒。从本质上来讲,深度包检测将入侵检测(IDS)功能融入防火墙当中,从而使我们有条件创建一种一体化的安全设备,如图3所示。