世界IT論壇-Win/Intel服務(wù)器技術(shù)-防火墻相關(guān)知識(shí)之第二篇：淺談狀態(tài)檢測(cè)防火墻和應(yīng)用層防火墻的原理（結(jié)合ISA SERVER）

quantum 2005-11-19

展開(kāi)全文

防火墻相關(guān)知識(shí)之第二篇：淺談狀態(tài)檢測(cè)防火墻和應(yīng)用層防火墻的原理（結(jié)合ISA SERVER）
防火墻相關(guān)知識(shí)之第一篇：防火墻的工作原理
http://www./forum/itemdisplay.asp?boardid=14&id=429283(作者：Kevin Whistler)
--------------------------------------------------------------------------------
防火墻相關(guān)知識(shí)之第二篇：淺談狀態(tài)檢測(cè)防火墻和應(yīng)用層防火墻的原理（結(jié)合ISA SERVER)
-------------------------作者：shukoshi------------------------------------
防火墻發(fā)展到今天，雖然不斷有新的技術(shù)產(chǎn)生，但從網(wǎng)絡(luò)協(xié)議分層的角度，仍然可以歸為以下三類(lèi)：
1，包過(guò)濾防火墻；
2，基于狀態(tài)檢測(cè)技術(shù)(Stateful-inspection)的防火墻；
3，應(yīng)用層防火墻。
這三類(lèi)防火墻都是向前包容的，也就是說(shuō)基于狀態(tài)檢測(cè)的防火墻也有一般包過(guò)濾防火墻的功能，而基于應(yīng)用層的防火墻也包括前兩種防火墻的功能。在這里我將講講后面兩類(lèi)防火墻的實(shí)現(xiàn)原理。
先從基于狀態(tài)檢測(cè)的防火墻開(kāi)始吧，為什么會(huì)有基于狀態(tài)檢測(cè)的防火墻呢?這就要先看看第一類(lèi)普通包過(guò)濾防火墻的主要缺點(diǎn)，比如我們要允許內(nèi)網(wǎng)用戶訪問(wèn)公網(wǎng)的WEB服務(wù)，來(lái)看看第一類(lèi)普通包過(guò)濾防火墻是怎樣處理的呢?那首先我們應(yīng)該建立一條類(lèi)似圖1所示的規(guī)則：

但這就行了嗎?顯然是不行的，因?yàn)檫@只是允許我向外請(qǐng)求WEB服務(wù)，但WEB服務(wù)響應(yīng)我的數(shù)據(jù)包怎么進(jìn)來(lái)呢?所以還必須建立一條允許相應(yīng)響應(yīng)數(shù)據(jù)包進(jìn)入的規(guī)則。好吧，就按上面的規(guī)則加吧，在動(dòng)作欄中我們填允許，由于現(xiàn)在數(shù)據(jù)包是從外進(jìn)來(lái)，所以源地址應(yīng)該是所有外部的，這里不做限制，在源端口填80，目標(biāo)地址也不限定，這個(gè)這個(gè)目標(biāo)端口怎么填呢?因?yàn)楫?dāng)我訪問(wèn)網(wǎng)站時(shí)本地端口是臨時(shí)分配的，也就是說(shuō)這個(gè)端口是不定的，只要是1023以上的端口都有可能，所以沒(méi)有辦法，那只有把這些所有端口都開(kāi)放了，于是在目標(biāo)端口填上1024-65535，這樣規(guī)則就如圖2所示了，實(shí)際上這也是某些第一類(lèi)防火墻所采用的方法。

想一想這是多么危險(xiǎn)的，因?yàn)槿胝镜母叨丝谌_(kāi)放了，而很多危險(xiǎn)的服務(wù)也是使用的高端口啊，比如微軟的終端服務(wù)/遠(yuǎn)程桌面監(jiān)聽(tīng)的端口就是3389，當(dāng)然對(duì)這種固定的端口還好說(shuō)，把進(jìn)站的3389封了就行，但對(duì)于同樣使用高端口但卻是動(dòng)態(tài)分配端口的RPC服務(wù)就沒(méi)那么容易處理了，因?yàn)槭莿?dòng)態(tài)的，你不便封住某個(gè)特定的RPC服務(wù)。
上面說(shuō)了這是某些普通包過(guò)濾防火墻所采用的方法，為了防止這種開(kāi)放高端口的風(fēng)險(xiǎn)，于是一些防火墻又根據(jù)TCP連接中的ACK位值來(lái)決定數(shù)據(jù)包進(jìn)出，但這種方法又容易導(dǎo)致DoS攻擊，何況UDP協(xié)議還沒(méi)有這種標(biāo)志呢?所以普通包過(guò)濾防火墻還是沒(méi)有解決這個(gè)問(wèn)題，我們?nèi)匀恍枰环N更完美的方法，這時(shí)就有了狀態(tài)檢測(cè)技術(shù)，我們先不解釋什么是狀態(tài)檢測(cè)防火墻，還是來(lái)看看它是怎樣處理上面的問(wèn)題的。同上面一樣，首先我們也需要建立好一條類(lèi)似圖1的規(guī)則(但不需要圖2的規(guī)則)，通常此時(shí)規(guī)則需要指明網(wǎng)絡(luò)連接的方向，即是進(jìn)還是出，然后我在客戶端打開(kāi)IE向某個(gè)網(wǎng)站請(qǐng)求WEB頁(yè)面，當(dāng)數(shù)據(jù)包到達(dá)防火墻時(shí)，狀態(tài)檢測(cè)引擎會(huì)檢測(cè)到這是一個(gè)發(fā)起連接的初始數(shù)據(jù)包(由SYN標(biāo)志)，然后它就會(huì)把這個(gè)數(shù)據(jù)包中的信息與防火墻規(guī)則作比較，如果沒(méi)有相應(yīng)規(guī)則允許，防火墻就會(huì)拒絕這次連接，當(dāng)然在這里它會(huì)發(fā)現(xiàn)有一條規(guī)則允許我訪問(wèn)外部WEB服務(wù)，于是它允許數(shù)據(jù)包外出并且在狀態(tài)表中新建一條會(huì)話，通常這條會(huì)話會(huì)包括此連接的源地址、源端口、目標(biāo)地址、目標(biāo)端口、連接時(shí)間等信息，對(duì)于TCP連接，它還應(yīng)該會(huì)包含序列號(hào)和標(biāo)志位等信息。當(dāng)后續(xù)數(shù)據(jù)包到達(dá)時(shí)，如果這個(gè)數(shù)據(jù)包不含SYN標(biāo)志，也就是說(shuō)這個(gè)數(shù)據(jù)包不是發(fā)起一個(gè)新的連接時(shí)，狀態(tài)檢測(cè)引擎就會(huì)直接把它的信息與狀態(tài)表中的會(huì)話條目進(jìn)行比較，如果信息匹配，就直接允許數(shù)據(jù)包通過(guò)，這樣不再去接受規(guī)則的檢查，提高了效率，如果信息不匹配，數(shù)據(jù)包就會(huì)被丟棄或連接被拒絕，并且每個(gè)會(huì)話還有一個(gè)超時(shí)值，過(guò)了這個(gè)時(shí)間，相應(yīng)會(huì)話條目就會(huì)被從狀態(tài)表中刪除掉。就上面外部WEB網(wǎng)站對(duì)我的響應(yīng)包來(lái)說(shuō)，由于狀態(tài)檢測(cè)引擎會(huì)檢測(cè)到返回的數(shù)據(jù)包屬于WEB連接的那個(gè)會(huì)話，所以它會(huì)動(dòng)態(tài)打開(kāi)端口以允許返回包進(jìn)入，傳輸完畢后又動(dòng)態(tài)地關(guān)閉這個(gè)端口，這樣就避免了普通包過(guò)濾防火墻那種靜態(tài)地開(kāi)放所有高端端口的危險(xiǎn)做法，同時(shí)由于有會(huì)話超時(shí)的限制，它也能夠有效地避免外部的DoS攻擊，并且外部偽造的ACK數(shù)據(jù)包也不會(huì)進(jìn)入，因?yàn)樗臄?shù)據(jù)包信息不會(huì)匹配狀態(tài)表中的會(huì)話條目。
上面雖然是講的針對(duì)TCP(WEB服務(wù))連接的狀態(tài)檢測(cè)，但這同樣對(duì)UDP有效，雖然UDP不是像TCP那樣有連接的協(xié)議，但狀態(tài)檢測(cè)防火墻會(huì)為它創(chuàng)建虛擬的連接。
相對(duì)于TCP和UDP來(lái)說(shuō)，ICMP的處理要難一些，但它仍然有一些信息來(lái)創(chuàng)建虛擬的連接，關(guān)鍵是有些ICMP數(shù)據(jù)包是單向的，也就是當(dāng)TCP和UDP傳輸有錯(cuò)誤時(shí)會(huì)有一個(gè)ICMP數(shù)據(jù)包返回。對(duì)于ICMP的處理，不同的防火墻產(chǎn)品可能不同的方法，在ISA SERVER 2000中，不支持ICMP的狀態(tài)檢查，只能靜態(tài)地允許或拒絕ICMP包的進(jìn)出。
從上面可以看出，基于狀態(tài)檢測(cè)的防火墻較好的解決了第一類(lèi)普通包過(guò)濾防火墻的問(wèn)題，為了更直觀的理解狀態(tài)檢測(cè)防火墻，我們還來(lái)看看一些實(shí)際例子，這些例子都是在ISA SERVER 2000上的表現(xiàn)。
(1)感受會(huì)話超時(shí)的限制
還是舉一個(gè)能說(shuō)明問(wèn)題的例子，比如大家熟悉的QQ(QQ2003II)，為什么你一直不聊天和做其他動(dòng)作仍然能夠收到從騰訊服務(wù)器上發(fā)來(lái)的廣告信息呢?肯定不是這個(gè)連接到騰訊服務(wù)器的QQ會(huì)話永不超時(shí)，其實(shí)你用sniffer軟件一看就知道了，這是因?yàn)镼Q每到一分鐘時(shí)(但還沒(méi)到一分鐘)就會(huì)主動(dòng)與騰訊服務(wù)器聯(lián)系一次，這種聯(lián)系對(duì)防火墻后的QQ是非常重要的，通常來(lái)說(shuō)，對(duì)于UDP協(xié)議，會(huì)話超時(shí)都是一分鐘或小于一分鐘，另外windows 2000中UDP端口的NAT映射期也只有一分鐘，它在一分鐘之內(nèi)聯(lián)系，這樣就會(huì)在防火墻狀態(tài)表中保持它的會(huì)話，不至于會(huì)話被刪除，想像一下，如果它不這樣聯(lián)系的話，一分鐘后這條會(huì)話被刪除，而剛好此時(shí)騰訊有個(gè)廣告要傳給你，那么你是不能收到的，當(dāng)然其他從騰訊服務(wù)器上來(lái)的消息也不能收到，這是因?yàn)闀?huì)話中已沒(méi)有了匹配的條目，而規(guī)則中又沒(méi)有靜態(tài)打開(kāi)的入站端口。當(dāng)然上面的分析是從用戶的角度來(lái)說(shuō)的，從騰訊的角度來(lái)說(shuō)，它也需要獲知用戶的連接狀態(tài)，所以也需要定時(shí)通信，這已不在我們的討論范圍之內(nèi)了。除了QQ，MSN Messenger也是這樣的。
(2)動(dòng)態(tài)地打開(kāi)入站端口
首先我已在ISA SERVER 2000中的protocol rules下定義了一條允許所有客戶端訪問(wèn)外部WEB網(wǎng)站的規(guī)則，如圖3，

注意上面只明確定義了出站的規(guī)則，沒(méi)有明確定義入站的規(guī)則，這是因?yàn)橛袪顟B(tài)檢測(cè)技術(shù)起作用，我們用不著為上面的規(guī)則配套一條明確的入站規(guī)則。圖4是我在客戶端打開(kāi)網(wǎng)頁(yè)時(shí)在ISA服務(wù)器上進(jìn)行sniffer的結(jié)果，第一行是一個(gè)帶有SYN標(biāo)志的初始化連接的數(shù)據(jù)包，本地端口是22870，第二行是對(duì)方回應(yīng)的數(shù)據(jù)包，由于與第一行屬于同一個(gè)會(huì)話，防火墻已經(jīng)為它動(dòng)態(tài)地打開(kāi)端口22870以便進(jìn)入。

上面我們感受了狀態(tài)檢測(cè)防火墻的強(qiáng)大功能，但由于狀態(tài)檢測(cè)防火墻畢竟是工作在網(wǎng)絡(luò)層和傳輸層的，所以它仍然有一些不能解決的問(wèn)題需要在應(yīng)用層來(lái)進(jìn)行解決，比如對(duì)于動(dòng)態(tài)分配端口的RPC就必須作特殊處理；另外它也不能過(guò)濾掉應(yīng)用層中特定的內(nèi)容，比如對(duì)于http內(nèi)容，它要么允許進(jìn)，要么允許出，而不能對(duì)http內(nèi)容進(jìn)行過(guò)濾，這樣我們就不能控制用戶訪問(wèn)的WEB內(nèi)容，也不能過(guò)濾掉外部進(jìn)入內(nèi)網(wǎng)的惡意HTTP內(nèi)容，另外，它也不能對(duì)用戶進(jìn)行認(rèn)證，為了解決這些問(wèn)題，我們還必須把防火墻的過(guò)濾層次擴(kuò)展到應(yīng)用層，這就是應(yīng)用層防火墻，不過(guò)這種稱(chēng)呼似乎有點(diǎn)不準(zhǔn)，也許叫應(yīng)用層級(jí)的狀態(tài)檢測(cè)防火墻更合適，其實(shí)今天比較大型的商業(yè)防火墻都應(yīng)該是這個(gè)級(jí)別的防火墻了，比如微軟的ISA SERVER 2000就是，在ISA中這種應(yīng)用層的過(guò)濾就表現(xiàn)為應(yīng)用程序過(guò)濾器(Application Filters)，下面來(lái)看看應(yīng)用層防火墻的處理過(guò)程。
如前文所述，當(dāng)數(shù)據(jù)包在網(wǎng)絡(luò)層和傳輸層通過(guò)檢查之后，它就被送到應(yīng)用層繼續(xù)進(jìn)行檢查，不同的應(yīng)用協(xié)議送到不同的應(yīng)用協(xié)議過(guò)濾器，比如是SMTP數(shù)據(jù)包，它就會(huì)送到SMTP過(guò)濾器，在ISA SERVER 2000中，該篩選器攔截并核對(duì)SMTP 電子郵件通信，保護(hù)郵件服務(wù)器免受攻擊。該篩選器識(shí)別不安全的命令并且可以篩選電子郵件信息的內(nèi)容或者大小，在未經(jīng)同意的電子郵件到達(dá)郵件服務(wù)器之前將其拒絕。只有匹配過(guò)濾器規(guī)則的數(shù)據(jù)包才會(huì)允許通過(guò)防火墻。
但應(yīng)用層的過(guò)濾也有缺點(diǎn)，就是得針對(duì)每種應(yīng)用協(xié)議開(kāi)發(fā)一種過(guò)濾器，而對(duì)于一種具體的應(yīng)用協(xié)議過(guò)濾器，它也是需要不斷發(fā)展的，因?yàn)閼?yīng)用協(xié)議在發(fā)展，再說(shuō)還不斷有新的應(yīng)用協(xié)議產(chǎn)生，并且由于數(shù)據(jù)包要經(jīng)過(guò)應(yīng)用層過(guò)濾器的再次檢查，這無(wú)疑會(huì)降低網(wǎng)絡(luò)傳輸效率。而對(duì)于使用動(dòng)態(tài)端口協(xié)議的處理這種防火墻最頭痛的事情，即使在應(yīng)用層上來(lái)解決也不是一件容易的事，RPC也許不是問(wèn)題了，因?yàn)樗褂昧诉@么多年，各種防火墻對(duì)它都已經(jīng)有了比較成熟的解決方案，比如ISA SERVER 2000中就有專(zhuān)門(mén)的RPC filter來(lái)對(duì)它進(jìn)行處理，但對(duì)于一些比較新的且也使用動(dòng)態(tài)端口的協(xié)議就不好辦了，比如用于即時(shí)通信中的SIP協(xié)議等諸多協(xié)議都要使用動(dòng)態(tài)端口，由于沒(méi)有即時(shí)的過(guò)濾器推出，使用這些協(xié)議的網(wǎng)絡(luò)應(yīng)用程序在防火墻后通常都會(huì)有連接故障，我想那些在防火墻后使用MSN Messenger的朋友一定深有體會(huì)(當(dāng)使用除即時(shí)文字聊天和文件傳輸以外的功能時(shí))，不過(guò)，現(xiàn)在也有了一種比較全面地來(lái)解決這種使用動(dòng)態(tài)端口協(xié)議的方案，那就是在防火墻中添加UPnP協(xié)議的支持，這樣那些支持UPnP的網(wǎng)絡(luò)應(yīng)用程序(如MSN Messenger 6.1)就能夠自動(dòng)去發(fā)現(xiàn)防火墻并在防火墻上動(dòng)態(tài)地打開(kāi)端口，這樣就無(wú)需在防火墻上去進(jìn)行進(jìn)退兩難的手動(dòng)配置。不過(guò)遺憾的是，雖然UPnP有效的解決了動(dòng)態(tài)端口的問(wèn)題，但它也帶來(lái)了新的安全問(wèn)題，所以在安全性要求較高的網(wǎng)絡(luò)中是不適宜開(kāi)啟UPnP功能的。可能也是由于安全原因吧，現(xiàn)在支持UPnP的防火墻還很少，據(jù)我所知，Kerio winroute firewall5和windows XP上的ICF是支持UPnP的。
注：本文未探討另一類(lèi)工作在應(yīng)用層的防火墻，即代理服務(wù)器，也被稱(chēng)做應(yīng)用代理網(wǎng)關(guān)。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買(mǎi)等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自： quantum > 《技術(shù)文檔》

舉報(bào)/認(rèn)領(lǐng)