隨著對網絡安全問題的理解日益深入,入侵檢測技術得到了迅速的發展,應用防護的概念逐漸被人們所接受,并應用到入侵檢測產品中。而在千兆環境中,如何解決應用防護和千兆高速網絡環境中數據包線速處理之間的矛盾,成為網絡安全技術發展一個新的挑戰。
入侵檢測技術的演進
入侵檢測系統(IDS, Intrusion Detection System)是近十多年發展起來的新一代安全防范技術,它通過對計算機網絡或系統中的若干關鍵點收集信息并對其進行分析,從中發現是否有違反安全策略的行為和被攻擊的跡象。IDS產品被認為是在防火墻之后的第二道安全防線在攻擊檢測、安全審計和監控等方面都發揮了重要的作用。
但在入侵檢測產品的使用過程中,暴露出了諸多的問題。特別是誤報、漏報和對攻擊行為缺乏實時響應等問題比較突出,并且嚴重影響了產品發揮實際的作用。Gartner在2003年一份研究報告中稱入侵檢測系統已經“死”了。Gartner認為IDS不能給網絡帶來附加的安全,反而會增加管理員的困擾,建議用戶使用入侵防御系統(IPS,Intrusion Prevention System)來代替IDS。Gartner公司認為只有在線的或基于主機的攻擊阻止(實時攔截)才是最有效的入侵防御系統。
從功能上來看,IDS是一種并聯在網絡上的設備,它只能被動地檢測網絡遭到了何種攻擊,它的阻斷攻擊能力非常有限,一般只能通過發送TCP reset包或聯動防火墻來阻止攻擊。而IPS則是一種主動的、積極的入侵防范、阻止系統,它部署在網絡的進出口處,當它檢測到攻擊企圖后,它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。因此,從實用效果上來看,和IDS相比入侵防御系統IPS向前發展了一步,能夠對網絡起到較好的實時防護作用。
近年來,網絡攻擊的發展趨勢是逐漸轉向高層應用。根據Gartner的分析,目前對網絡的攻擊有70%以上是集中在應用層,并且這一數字呈上升趨勢。應用層的攻擊有可能會造成非常嚴重的后果,比如用戶帳號丟失和公司機密泄漏等。因此,對具體應用的有效保護就顯得越發重要。從檢測方法上看,IPS與IDS都是基于模式匹配、協議分析以及異常流量統計等技術。這些檢測技術的特點是主要針對已知的攻擊類型,進行基于攻擊特征串的匹配。但對于應用層的攻擊,通常是利用特定的應用程序的漏洞,無論是IDS還是IPS都無法通過現有的檢測技術進行防范。
為了解決日益突出的應用層防護問題,繼入侵防御系統IPS之后,應用入侵防護系統(AIP,Application Intrusion Prevention)逐漸成為一個新的熱點,并且正得到日益廣泛的應用。
應用入侵防護
對應用層的防范通常比內網防范難度要更大,因為這些應用要允許外部的訪問。防火墻的訪問控制策略中必須開放應用服務對應的端口,如web的80端口。這樣,黑客通過這些端口發起攻擊時防火墻無法進行識別控制。入侵檢測和入侵防御系統并不是針對應用協議進行設計,所以同樣無法檢測對相應協議漏洞的攻擊。而應用入侵防護系統則能夠彌補防火墻和入侵檢測系統的不足,對特定應用進行有效保護。
所謂應用入侵防護系統AIP,是用來保護特定應用服務(如web和數據庫等應用)的網絡設備,通常部署在應用服務器之前,通過AIP系統安全策略的控制來防止基于應用協議漏洞和設計缺陷的惡意攻擊。
在對應用層的攻擊中,大部分時通過HTTP協議(80端口)進行。在國外權威機構的一次網絡安全評估過程中發現,97%的web站點存在一定應用協議問題。雖然這些站點通過部署防火墻在網絡層以下進行了很好的防范,但其應用層的漏洞仍可被利用進而受到入侵和攻擊。因此對于web等應用協議,應用入侵防護系統AIP應用比較廣泛。通過制訂合理的安全策略,AIP能夠對以下類型的web攻擊進行有效防范:
惡意腳本
Cookie投毒
隱藏域修改
緩存溢出
參數篡改
強制瀏覽
Sql插入
已知漏洞攻擊
應用入侵防護技術近兩年剛剛出現,但發展迅速。Yankee Group預測在未來的五年里, AIP將和防火墻,入侵檢測和反病毒等安全技術一起,成為網絡安全整體解決方案的一個重要組成部分。
千兆解決方案
應用入侵防護產品在保護企業業務流程和相關數據方面發揮著日益重要的作用,同時隨著網絡帶寬的不斷增加,只有在適合千兆環境應用的高性能產品才能夠滿足大型網絡的需要。
傳統的軟件形式的應用入侵防護產品受性能的限制,只能應用在中小型網絡中;基于x86架構的硬件產品無法達到千兆流量的要求;近年來,網絡處理器(NP)在千兆環境中得到了日益廣泛的應用,但NP的優勢主要在于網絡層以下的包處理上,若進行內容處理則會導致性能的下降。
通過高性能內容處理芯片和網絡處理芯片相結合形式,為千兆應用入侵防護產品提供了由于的解決方案。其設計特點是采用不同的處理器實現各自獨立的功能,由網絡處理芯片實現網絡層和傳輸層以下的協議棧處理,通過高速內容處理芯片進行應用層的協議分析和內容檢查。從而實現了千兆流量線速轉發和高速內容處理的完美結合,真正能夠為用戶提供千兆高性能的應用防護解決方案。
在上面系統框架中,包處理引擎收到數據包后,首先由網絡處理器進行傳輸層以下的協議棧處理,并將數據包還原成數據流。接下來由內容處理器對數據流進行應用協議處理,根據控制器設定的安全策略對各種應用攻擊進行檢測和過濾。只有符合安全策略要求的數據流才會被發送到服務器,攻擊包則被丟棄。
在高性能的千兆解決方案中,能夠實現網絡層到應用層的多層次立體防護體系。對于面向大型web應用,產品通過多種功能的集成實現有效的應用防護:
Web應用入侵防護。通過系統內置的網絡內容處理芯片,對web請求和回應流量進行細致的分析。根據內置的規則及啟發式的安全策略,有效防范各種針對web應用的攻擊行為。
DOS攻擊的防護。系統通過網絡處理芯片,對Synflood、Icmpflood、Upflood、PinfOfDeath、Smurf、Ping Sweep等網絡層的拒絕服務攻擊進行過濾的防范,有效保護服務器。
訪問控制。通過硬件的ACL匹配算法,系統能夠在實現線速轉發的同時對數據包進行實時的訪問控制。
中科網威在新一代千兆應用入侵防護產品設計中采用了上述解決方案,實現了千兆流量下的線速處理。系統以透明模式接入網絡,在增強安全性的同時,網絡性能不會受到任何影響,真正實現了應用層內容處理和千兆高性能的完美結合。
小結
為了保護企業重要的應用服務資源,應用入侵防護產品AIP正在得到日益廣泛的應用。中科網威通過內容處理器和網絡處理器相結合的技術,有效解決了千兆網絡環境中應用入侵防護和性能之間的矛盾,為用戶提供了全新的解決方案。
