思科防火墙销售指南之应用篇(1)

Cisco Systems, Inc. 思科系统公司是全球领先的互联网设备供应商。它的网络设备和应用方案将世界各地的人、计算设备以及网络联结起来，使人们能够随时随地利用各种设备传送信息。思科公司向客户提供端到端的网络方案，使客户能够建立起其自己的统一信 息基础设施或者与其他网络相连。

思科公司提供业界范围最广的网络硬件产品、互联网操作系统（IOS）软件、网络设计和实施等专业技术支持，并与合作伙伴合作提供网络维护、优化等方面的技术支持和专业化培训服务。

思科公司及其客户每天都在为推进互联网的发展而努力。思科相信，互联网的发展将极大地改变企业的运营方式，产生"全球网络经济"模式。这一模式使任何规模的企业都能使用信息交换技术来保持一种强大、交互性的业务关系。思科公司自身就是"全球网络经济"模式的受益者。利用跨越互联网以及内部网的网络应用，运营成本大幅降低，直接收入增加。思科公司目前拥有全球最大的互联网商务站点，公司全球业务90％的交易是在网上完成的。

思科在中国

随着全球经济一体化进程的加快，思科系统公司非常重视这一态势，及时进入中国市场，并先后在北京（1994年8月）、上海（1995年9月）、广州（1996年3月）和成都（1996年5月）设立了代表处。

1998年6月2日，思科系统公司总裁兼首席执行官约翰

1999年1月14日，思科系统公司又投资数百万美元加强其在中国的客户支持体系，在北京建立技术支持中心。这个中心是思科系统公司全球四大技术支持中心之一，向思科系统公司在中国的合作伙伴和用户提供每周7天、每天24小时的软硬件维护及支持服务。

从1998年6月至今，中国国家主席江泽民先后两次亲切接见了到访的思科系统公司总裁兼首席执行官约翰

• 钱伯斯先生，鼓励思科系统公司为推进中国社会信息化建设贡献力量。

思科系统公司十分重视帮助中国教育和培养网络人才，先后与国内160多所著名高校合作成立了思科网络技术学院。思科每年在国内举办数十场技术报告会和研讨会，向国内介绍当今世界最新网络技术和产品。从1998年始，思科大学每季度都组织针对经销商和用户的不同主题的技术培训。

思科系统公司在中国的服务与支持日臻完善。目前，除已建成北京技术支持中心（TAC）和北京、上海、广州、成都备件库外，还提供中文3W服务与支持，包括24小时全球电话热线服务和中文电子邮件服务以及各种技术培训。经验丰富的思科工程师不仅为用户解决各种问题带来了极大方便，更重要的是加强了思科系统（中国）网络技术有限公司代理商的技术能力，使其能更好地在第一线为用户提供直接的支持。

在中国，思科系统公司积极谋求和其他厂商广泛的、全方位的、深层次的合作。面对不同的市场需求和用户群，思科系统中国公司有四种不同的合作伙伴体系-分销代理体系、认证合作伙伴体系、战略联盟合作伙伴体系、培训合作伙伴体系。这四种体系的完美组合与协调，使思科系统公司的用户可以享受全方位的技术支持、系统维护、人员培训等服务。

多年来，思科系统公司积极参与了中国几乎所有大型网络项目的建设，把最先进的网络技术和产品以最快的速度带给中国用户，使他们能够及时改善计算机网络及相关基础设施。这些项目既包括中国金融骨干网、中国教育科研网以及海关、邮政等系统网络的建设，也包括中国电信、中国联通和吉通公司等电信运营商的网络基础建设；既有全国范围的骨干网络建设，也有针对新兴电信增值业务的设备部署。

中国社会信息化、网络化建设不仅需要领先的网络技术和设备，更需要正确建立和充分应用互联网的成功经验和策略咨询。思科互联网商业方案部（IBSG）积极与用户分享思科应用互联网的成功经验。在《财富》"全球500强"企业中，已有280多家企业的总裁和首席信息官分享了思科经验。美国《商业周刊》对此评论说，由于思科处在互联网经济的核心，它比任何其他公司都更适合于领导和推动全球经济企业发展向互联网转型。

思科系统公司为建设一个信息化的中国社会不断贡献着自己的力量。

思科公司在网络安全市场－防火墙的领导地位

思科公司的PIX防火墙产品自面世以来就得到用户的信赖和认可，连续多年在全球防火墙市场份额均居所有安全厂商之首，在中国也不例外，思科公司的PIX防火墙高居中国防火墙市场份额。到目前为止，思科公司拥有覆盖全国，主要涉及、电信、金融、、能源、交通、教育、流通、邮政、制造等行业的用户，有非常广泛的用户群和实际防火墙实施经验。

防火墙技术发展与思科防火墙技术

防火墙技术

防火墙所能起到的保护能力与其体系结构和运行机制有很大的关系，每一次体系结构上的演变都会带来防火墙功能的质的飞跃。防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护，而应用代理则更关心应用层的保护。

包过滤是历史最久远的防火墙技术，从实现上分，可以分为简单包过滤和状态检测的包过滤两种。

• 简单包过滤是对单个包的检查，目前绝大多数路由器产品都提供这样的功能。由于这类技术不能跟踪TCP的状态，所以对TCP层的控制能力有限，当在这样的产品上配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式进行的攻击仍然可以从外部透过防火墙对内部的系统进行攻击。简单包过滤的产品由于其保护的不完善，1999年开始已经很少在主流产品中出现了。
  
• 状态检测的包过滤利用状态表跟踪每一个网络会话的状态，对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态。因而提供了更完整的对传输层的控制能力。同时由于一系列优化技术的采用，状态检测包过滤的性能也明显优于简单包过滤产品，尤其是在一些规则复杂的大型网络上。

应用代理防火墙可以说就是为防范应用层攻击而设计的。应用代理也算是一个历史比较长的技术，通常的表现形式是一组代理的集合。代理的原理是彻底隔断两端的直接通信，所有通信都必须经应用层的代理转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略的要求。针对各种应用协议的代理防火墙提供了丰富的应用层的控制能力。可以这样说，状态检测包过滤规范了网络层和传输层行为，而应用代理则是规范了特定的应用协议上的行为。

防火墙防御攻击的几种常用技术

深度数据包处理

深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。

防火墙技术

应用层攻击涉及多种数据包，并且常常涉及多种请求，即不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。

SSL终止

如今，几乎所有的安全应用都使用HTTPS确保通信的保密性。然而，SSL数据流采用了端到端加密，因而对被动探测器如入侵检测系统（IDS）产品来说是不透明的。为了阻止恶意流量，应用防火墙必须终止SSL，对数据流进行解码，以便检查明文格式的流量。这是保护应用流量的最起码要求。如果安全策略不允许敏感信息在未加密的前提下通过网络传输，就需要在流量发送到Web服务器之前重新进行加密的解决方案。

URL过滤

一旦应用流量呈明文格式，就可以检测HTTP请求的URL部分，寻找恶意攻击的迹象，譬如可疑的统一代码编码（unicode encoding）。对URL过滤采用基于特征的方案，仅仅寻找匹配定期更新的特征、过滤掉与已知攻击的URL，但这还远远不够。需要一种方案不仅能检查RUL，还能检查请求的其余部分；把应用响应考虑进来，可以大大提高检测攻击的准确性。

用户会话跟踪

更先进的技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分：跟踪用户会话，把单个用户的行为关联起来。这项功能通常借助于通过URL重写（URL rewriting）来使用会话信息块加以实现。只要跟踪单个用户的请求，就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持（session-hijacking）及信息块中毒（cookie-poisoning）类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块，还能对应用生成的信息块进行数字签名，以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应，并从中提取信息块信息。