思科防火墙销售指南之应用篇(2)

响应模式匹配

响应模式匹配为应用提供了更全面的保护：它不仅检查提交至Web服务器的请求，还检查Web服务器生成的响应。它能极其有效地防止网站受毁损，或者更确切地说，防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别：防毁损工作由应用防火墙来进行，它对站点上的静态内容进行数字签名，如果发现内容离开Web服务器后出现了改动，防火墙就会用原始内容取代已毁损页面；对付敏感信息泄露方面，应用防火墙会监控响应，寻找可能表明服务器有问题的模式，譬如一长串Java异常符，如果发现这类模式，防火墙就会把它们从响应当中剔除，或者干脆封阻响应。

行为建模

行为建模有时称为积极的安全模型或“白名单”（white list）安全，它是唯一能够防御最棘手的应用漏洞--零时间漏洞的保护机制。零时间漏洞是指未写入文档或“还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为，其它行为一律禁止。这项技术要求对应用行为进行建模，这反过来就要求全面分析提交至应用的每个请求的每次响应，目的在于识别页面上的行为元素，譬如表单域、按钮和超文本链接。这种级别的分析可以发现恶意表单域及隐藏表单域操纵类型的漏洞，同时对允许用户访问的URL实行极其严格的监控。行为建模是一种很好的概念，但其功效往往受到自身严格性的限制。某些情况大量使用JavaScript或者应用故意偏离行为模型都会导致行为建模犯错，从而引发误报，拒绝合理用户访问应用。行为建模要发挥作用，就需要一定程度的人为干预，以提高安全模型的准确性。

思科防火墙技术

状态检测包过滤和应用代理这两种技术目前仍然是防火墙市场中普遍采用的主流技术，Cisco Secure PIX防火墙基于此两种防火墙技术的基础上，提供空前的安全保护能力，它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法（ASA）。ASA自适应安全算法与包过滤相比，功能更加强劲；另外，ASA与应用层代理防火墙相比，其性能更高，扩展性更强。 ASA可以跟踪源和目的地址、传输控制协议（TCP）序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时，访问才被允许通过PIX防火墙。这样，内部和外部的授权用户就可以透明地访问企业资源，同时保护内部网络不会受到非授权访问的侵袭。

另外，思科公司的专用实时嵌入式系统还能进一步提高Cisco Secure PIX防火墙系列的安全性。虽然UNIX服务器是广泛采用公开源代码的理想开放开发平台，但通用的操作系统并不能提供最佳的性能和安全性。而专用的 Cisco Secure PIX防火墙是为了实现安全、高性能的保护而专门设计。

• 适应性安全算法（Adaptive Security Algorithm）
  
• 适应性安全算法（ASA）是一种状态安全方法。每个向内传输的包都将按照适应性安全算法和内存中的连接状态信息进行检查。安全业界人士都认为，这种默认安全方法要比无状态的包屏蔽方法更安全。

ASA无需配置每个内部系统和应用就能实现单向（从内到外）连接。ASA一直处于操作状态，监控返回的包，目的是保证这些包的有效性。为减小TCP序列号袭击的风险，它总是主动对TCP序列号作随机处理。

当向外包到达PIX Firewall上安全等级较高的接口时，PIX Firewall将根据适应性安全算法检查包是否有效，以及前面的包是否来自于此台主机。如果不是，则包将被送往新的连接，同时，PIX Firewall将在状态表中为此连接产生一个转换插槽。PIX Firewall保存在转换插槽中的信息包括内部IP地址以及由网络地址转换（NAT）、端口地址转换（PAT）或者Identity（将内部地址作为外部地址使用）分配的全球唯一IP地址。然后，PIX Firewall将把包的源IP地址转换成全球唯一地址，根据需要修改总值和其它字段，然后将包发送到安全等级较低的接口。

当向内传输的包到达外部接口时，首先接受PIX Firewall适应性安全条件的检查。如果包能够通过安全测试，则PIX Firewall删除目标IP地址，并将内部IP地址插入到这个位置。包将被发送到受保护的接口。

ASA适用于动态转换插槽和静态转换插槽。静态转换插槽用static命令产生，动态转换插槽用global命令产生。总之，两种转换插槽都可以称为“xlates”。ASA遵守以下规则：

• 如果没有连接和状态，任何包都不能穿越PIX Firewall；
  
• 如果没有访问控制表的特殊定义，向外连接或状态都是允许的。向外连接指产生者或客户机的安全接口等级高于接收者或服务器。最安全的接口总是内部接口，最不安全的接口总是外部接口。周边接口的安全等级处于内部接口和外部接口之间；
  
• 如果没有特殊定义，向内连接或状态是不允许的。向内连接或状态指产生者或客户机的安全接口/网络等级低于接收者或服务器。用户可以为一个xlate（转换）应用多个例外。这样，就可以从互联网上的任意机器、网络或主机访问xlate定义的主机；
  
• 如果没有特殊定义，所有ICMP包都将被拒绝；
  
• 违反上述规则的所有企图都将失败，而且将把相应信息发送至系统日志。

PIX Firewall处理UDP数据传输的方式与TCP相同。为使DSN、Archie、StreamWorks、H.323和RealAudio能安全操作，PIX Firewall执行了特殊处理。当UDP包从内部网络发出时，PIX Firewall将生成UDP“连接”状态信息。如果与连接状态信息相匹配，这些流量带来的答复包将被接受。经过一小段时间的静默之后，连接状态信息将被删除。

“ASA适应性安全算法”与“数据包内容过滤”的比较

到目前为止，大量的包过滤防火墙仍完全不具备应用层保护能力，有些产品甚至连状态检测都不具备，这里所提到的“数据包内容过滤”是指那些能够提供对数据包内容进行检测的包过滤产品。

首先应用代理与数据包内容过滤不同，应用代理之所以能够对应用层进行完整的保护，在于其借助操作系统的TCP协议栈对于出入网络的应用数据包进行完全重组，并从操作系统提供的接口（socket）中以数据流的方式提取应用层数据；而包过滤防火墙中的数据包内容过滤仅能对当前正在通过的单一数据包的内容进行分析和判断，这两者在保护能力上存在本质的不同。举个例子来说，一个携带攻击特征的URL访问可能有256个字节，如果它们在一个数据包中传送，那么两种技术的防火墙都能够发现并拦截，但是如果这个URL被TCP协议栈分解成10个小的IP数据包，并且以乱序的方式发送给目标服务器，则包过滤防火墙根本无法识别这个攻击的企图。而应用代理则完全不会受到干扰，依然能够识别并进行拦截，因为数据包在网关的TCP协议栈中被按照正确的顺序有效的重新组合成数据流后才到达防火墙的过滤模块，它看到的仍然是完整的数据流。

基于ASA适应性安全算法的思科防火墙能够提供近似于代理防火墙的应用层保护能力，关键在于其ASA适应性安全算法架构中的状态连接，依据TCP协议的定义对出入防火墙的数据包进行了完整的重组，重组后的数据流交给应用层过滤逻辑进行过滤，从而可以有效的识别并拦截应用层的攻击企图。

“ASA适应性安全算法”与“应用代理（网关）”技术的比较

防火墙透明性

应用代理一般建立在操作系统中提供的socket接口之上，提供这个接口的普通TCP协议栈是为主机对外提供服务和对外进行访问而实现的，为了使用这个协议栈进行数据包重组，防火墙本机必须存在TCP的访问点，即IP地址和端口。这导致应用代理对于应用协议来说不可能是透明的，应用协议需要“知道”并且“允许”这个中间环节的存在。而这个条件在很多时候是不能够满足的。用户如果要部署应用代理防火墙，通常要对其网络拓扑结构和应用系统的部署进行调整。举一个简单的例子：我们必须在浏览器中设定代理网关的IP地址和端口才可能使浏览器按照存在一个中间代理的方式访问网站，换句话说，浏览器需要“知道”这个代理的存在。那么对于其他类型的应用协议呢？很多时候，应用协议的设计并不允许我们在其中增加一个过滤环节，这意味着应用代理防火墙提供应用保护的协议范围是有限的。

思科的ASA适应性安全算法则不同，它完全不需要用户调整网络结构和应用系统，它可以在防火墙的任何部署方式下提供完全一致的应用保护能力，这意味着用户不需要为了获得应用层保护能力而改变网络结构和应用系统，也完全不需要调整应用层的保护策略（过滤规则），它会与原来完全等同的效果去执行。

比如用户在一个已有的提供Web访问的服务器群中又增加了一个Web服务器，用户仅需要在PIX防火墙上增加一条针对该Web服务器漏洞的应用过滤规则即可以达到对该服务器的保护的目的，而服务器本身则完全不需要考虑防火墙的存在。

同样对于任何提供的应用保护协议，都对网络结构和应用系统完全透明，比如可以在交换模式下对通过防火墙的邮件标题进行关键字过滤，并对携带某些关键字的邮件采取“抛弃”的策略，则那些携带了某些关键字的“不好”的邮件在到达内部的邮件服务器前就完全“消失”了，无论是服务器还是该邮件的发送者都不会觉察，这样的功能可以非常有效的防止垃圾邮件进入企业内部，并且非常容易实施（不需要修改邮件服务器和DNS的配置）。