网络防火墙——功夫深入到第七层(1)

　　编者按：在短短的几年里，防火墙的功能重心从网络层发展到了应用层。本文结合Microsoft ISA Server的发展，阐述了这种变迁的技术背景，以及未来的防火墙技术走向。

　　应用层攻击挑战传统防火墙

　　最近两年来，攻击者的兴趣明显从端口扫描和制造拒绝服务攻击（DoS Attack）转向了针对Web、E-mail甚至数据库等主流应用的攻击。传统的防火墙仅仅检查IP数据包的包头，而忽略了内容——如果用信件来做比喻，也就是只检查了信封而没有检查信纸。因此对这类应用层的攻击无能为力。可以说，仅仅靠第三层和第四层的IP地址和协议端口过滤的防火墙产品早已走到了尽头。

　　战火烧向七层

　　为了对抗应用层（OSI网络模型的第七层）的攻击，防火墙必须具备应用层的过滤能力，Microsoft ISA Server 2004等防火墙产品已经具备了这种能力。

　　如果把计算机网络比做一座建筑，传统的包过滤防火墙就是在企业内部网络和Internet之间的一系列并列的门。每道门都有安检人员对到达的包裹（IP数据包）进行逐一检查，若没有发现数据包含有异常代码便开门放行。攻击者常用的伎俩就是通过端口扫描来检查哪些门是敞开不设防的，然后加以利用。晚些时候出现的具有状态检测功能的防火墙可以检查哪些数据包是来自Internet对内部网络访问请求的应答。也就是说，安检人员能够鉴别那些不请自来的包裹。

　　但应用层攻击就要复杂得多，因为攻击数据包在绝大多数情况下是合法的数据包，不同的只是内容具有攻击性，而且因为IP数据包是分段传输的，其内容的判别需要将所有相关的包重组后才能准确进行。一旦这种攻击数据包通过了防火墙，它们通常会开始有条不紊地利用目标系统的漏洞制造缓冲区溢出，获得系统的控制权，然后以此为平台开始寻找周围其他系统的漏洞或者其他的蠕虫留下的后门，进而展开攻击。

　　防火墙的对策