近日安全专家Steve Taylor及研发团队表示,目前的广域网(WAN)防火墙的防御能力远滞后告诉发展的安全威胁。我们将来研究下当前防火墙,并找出其中一些关键弱点。
当前广域网防火墙的检测重点落在监测数据包头。这样做的原因之一是因为防火墙受到处理能力的限制,防火墙的架构是以在行业标准CPU上运行的软件为基础。虽然使用行业标准的CPU有一定优势,但这些优势并不包含执行数据密集型处理的能力。
为了克服这个局限性,许多当前的防火强厂商都通过增加硬件或者加速组件来提高产品的性能。例如,一些当前防火墙增加了入侵防御功能(IPS)或者使用包含深度包检测(DPI)技术的来检查可疑的通讯。然而,防火墙受到本身处理能力的限制,使DPI技术只能应用于经过防火墙的极少数数据包。
此外,当前这一代防火墙做出了两个基本的假设,这两个假设都有问题。第一个假设是第一个数据包中包含的信息足以识别这个应用程序,以及这个应用程序要执行的功能。在许多情况下,需要用许多数据包才能做出这种识别,因为这个应用程序的端点能够协商改变端口号或者在一个连接上执行多种功能。
第二个假设是担心众所周知的端口的使用。在IP网络中,TCP和UDP端口是逻辑连接的端点,提供这种多路机制让多个应用程序共享一个IP网络连接。端口号的范围是0至65535。从0至1023的端口号是为系统级权限的服务保留的并且被指定为众所周知的端口。TCP和UDP都有众所周知的和注册的端口。典型的当前这一代的防火墙做出的假设是这些端口号总是按照指定使用的。但是,许多应用程序(如美国在线公司的即时消息软件)并不使用分配给它们的众所周知的端口。因此,这些假设虽然在20年前是正确的,但是,这些假设在目前却是不正确的。
专家的警告不难看出,虽然如今防火墙的功能及性能在不断改变,但要彻底改变防火墙的检测能力,必须多方协同发展来提升防火墙的包检测效率。
