防火墙新技术——深度检测(3)

　　这些攻击行为，在欺骗IDS和IPS方面，特别有效，因为攻击代码只要与安全设备的特征库有一点点不同的话，就能够达到目的。如图2所示。

　　解决字符串匹配问题需要利用正常化技术，深度检测能够识别和阻止大量的攻击。对于防范隐藏在帧数据、Unicode、URL编码，双重URL编码和多形态的Shell等类型的攻击行为，必须要用到正常化技术，如图3所示。

　　2.3 协议一致性

　　应用层协议，如HTTP、SMTP、POP3、DNS、IMAP和FTP，在应用程序中经常用到。每个协议，都由RFC（Request For Comments）相关规范创建。

　　深度检测防火墙，必须确认应用层数据流是否与这些协议定义相一致，以防止隐藏其中的攻击。

　　深度检测在应用层进行状态检测。协议一致性，通过对协议报文的不同字段进行解密而实现，当协议中的字段被识别出来后，防火墙采用RFC定义的应用规则，来检查其合法性。如图4所示。

　　2.4 双向负载检测

　　深度检测具有强大功能，能够允许数据包通过，拒绝数据包，检查或修改第4到7层数据包，包括包头或负载。HTTP深度检测能够查看到消息体中的URL，包头和参数等信息。深度检测防火墙能够自动进行动态配置，以便正确检测服务变量，如最大长度，隐藏字段和Radio按钮等等。如果请求的变量不匹配，不存在或者不正确的话，深度检测防火墙会将请求丢弃掉，将该事件写入日志，并给管理员发出警告信息。

　　深度检测技术允许修改或转换URL，包头和参数，这一点与应用层上的NAT类似。如图5所示。

　　3、总结

　　在复杂的Web环境中，为了提供全面的应用程序防护，深度检测是必需的。为了能够有效的阻止Web攻击，防火墙必须能够应用基于源IP地址、目的IP地址、端口以及应用程序内容的安全策略。

　　深度检测技术还在不断发展，但是深度检测技术一般具有应用层加密/解密、正常化、协议一致性、双向负载检测等四个方面的特征。

　　企业部署Web应用程序时，应该要确保防火墙能够满足这些应用程序要求得的安全需求，并且防火墙能够满足深度检测技术中的四项基本特征。