防火墙新技术——深度检测(2)

　　1.3 深度检测防火墙（Deep Inspection Firewall）

　　深度检测防火墙，将状态检测和应用防火墙技术结合在一起，以处理应用程序的流量，防范目标系统免受各种复杂的攻击。结合了状态检测的所有功能，深度检测防火墙能够对数据流量迅速完成网络层级别的分析，并做出访问控制决；对于允许的数据流，根据应用层级别的信息，对负载做出进一步的决策。

　　深度检测防火墙深入分析了TCP或UDP数据包的内容，以便对负载有个总的认识。

　　2、深度检测技术的四个基本特征

　　新的深度检测技术仍在不断出现，以实现不同的深度检测功能，但是我们需要了解深度检测技术所具有的基本特征。

　　高级的深度检测防火墙整合了包过滤防火墙和状态检测防火墙的所有功能，如图1所示。

　　高级的深度检测技术一般具有以下四个方面的特征：

　　◆ 应用层加密/解密；

　　◆ 正常化；

　　◆ 协议一致性；

　　◆ 双向负载检测；

　　这四种特征，为Web应用程序提供了重要防护，如果其中一种特征没有实现的话，深度检测防火墙在抵制应用层攻击时，效果会大打折扣。

　　2.1 应用层加密/解密

　　SSL广泛被应用于各种场合，以确保相关数据的安全性。这就对防火墙提出了新要求：必须能够处理数据加密/解密。如果不对SSL加密的数据进行解密，防火墙就不能对负载的信息进行分析，更不可能判断数据包中是否含有应用层攻击信息。如果没有解密功能，深度检测的所有优点都无法体现出来。

　　由于SSL加密的安全性很高，企业常使用SSL技术，以确保关键应用程序的通讯数据的安全性。如果深度检测不能对企业中关键应用程序提供深度检测安全性的话，整个深度检测的优势将失去意义。

　　2.2 正常化

　　防范应用层攻击，很大程度上依赖于字符串匹配。不正常的匹配会造成安全漏洞。比如，为了探知某种请求的安全策略是否被启用，防火墙通常根据请求的URL与安全策略来进行匹配。一旦与某种策略条件完全匹配，防火墙就采用对应的安全策略。指向同一个资源的URL或许有多种不同形态，如果该URL的编码方式不同的话，二进制方式的比较就不起作用了。攻击者会利用各种技术，对输入的URL进行伪装，企图避开字符串匹配，以达到越过安全设备的目的。