防火墙使用安全八项实用技能

 
　什么是使用安全呢？使用安全就是对网络使用的安全保证，这些使用包括：信用卡号码、机密资料、用户档案等信息。那么什么是保卫这些使用不受恶意攻击的困难所在呢？，在我们看来这些使用最薄弱的环节是通过网络防火墙上的端口80（主要用于HTTP）和端口443（用于SSL）时受到的攻击。那么防火墙如何对这些攻击执行 发觉及封阻呢？下文总结了八项使用安全技能，全文如下：
　　深度数据包处理
　　深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装使用流量，以防止给使用带来时延。下面每一种技能代表深度数据包处理的不同级别。
　　TCP/IP终止
　　使用层攻击涉及多种数据包，并且常常涉及多种请求，即不同的数据流。流量分析系统要发挥功效，就必须在用户与使用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这须要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。
　　SSL终止
　　如今，几乎所有的安全使用都运用 HTTPS确保通信的保密性。然而，SSL数据流采用了端到端加密，因而对被动探测器如入侵检测系统（IDS）产品来说是不透明的。为了阻止恶意流量，使用防火墙必须终止SSL，对数据流执行 解码，以便检查明文格式的流量。这是保卫使用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输，你就须要在流量发送到Web服务器之前重新执行 加密的处理方案。　　  

     URL过滤
　　一旦使用流量呈明文格式，就必须检测HTTP请求的URL部分，寻找恶意攻击的迹象，譬如可疑的统一代码编码（unicode encoding）。对URL过滤采用基于特征的方案，仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL，这是远远不够的。这就须要一种方案不仅能检查RUL，还能检查请求的其余部分。其实，如果把使用响应考虑进来，可以大大提高检测攻击的准确性。虽然URL过滤是一项主要的操作，可以阻止通常的脚本少年类型的攻击，但无力抵御大部分的使用层漏洞。 
　　请求分析
　　彻底的请求分析技能比单单采用URL过滤来得有效，可以防止 Web服务器层的跨站脚本执行（cross-site scripting）漏洞和其它漏洞。彻底的请求分析使URL过滤更进了一步：可以确保请求符合要求、遵守标准的HTTP规范，同时确保单个的请求部分在合理的大小限定范围之内。这项技能对防止 缓冲器溢出攻击非常有效。然而，请求分析仍是一项无状态技能。它只能检测当前请求。正如我们所知道的那样，记得以前的行为能够获得极有意义的分析，同时获得更深层的保卫。
　　用户会话跟踪
　　更先进的下一个技能就是用户会话跟踪。这是使用流量状态检测技能的最基本部分：跟踪用户会话，把单个用户的行为关联起来。这项功能通常借助于通过URL重写（URL rewriting）来运用会话信息块加以实现。只要跟踪单个用户的请求，就能够对信息块执行极其严格的检查。这样就能有效防御会话劫持（session-hijacking）及信息块中毒（cookie-poisoning）类型的漏洞。有效的会话跟踪不仅能够跟踪使用防火墙建立的信息块，还能对使用生成的信息块执行 数字签名，以保卫这些信息块不被人篡改。这须要能够跟踪每个请求的响应，并从中提取信息块信息。　　

   响应模式匹配
　　响应模式匹配为使用提供了更彻底的保卫：它不仅检查提交至Web服务器的请求，还检查Web服务器生成的响应。它能极其有效地防止 站点受毁损，或者更确切地说，防止 已毁损站点被阅读。对响应里面的模式执行 匹配相当于在请求端对URL执行 过滤。响应模式匹配分三个级别。防毁损工作由使用防火墙来执行 ，它对站点上的静态内容执行 数字签名。如果发觉内容离开Web服务器后出现了改动，防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面，使用防火墙会监控响应，寻找可能表明服务器有疑问的模式，譬如一长串Java异常符。如果发觉这类模式，防火墙就会把它们从响应当中剔除，或者干脆封阻响应。 
　　采用“停走”字（‘stop and go’word）的方案会寻找必须出现或不得出现在使用生成的响应里面的预解释通用模式。譬如说，可以要求使用提供的每个页面都要有版权声明。
　　行为建模
　　行为建模有时称为积极的安全模型或“白名单”（white list）安全，它是唯一能够防御最棘手的使用漏洞——零时间漏洞的保卫机制。零时间漏洞是指未写入文档或“还不知道”的攻击。对付这类攻击的唯一机制就是只允许已知是良好行为的行为，其它行为一律禁止。这项技能要求对使用行为执行 建模，这反过来就要求彻底分析提交至使用的每个请求的每次响应，目的在于识别页面上的行为元素，譬如表单域、按钮和超文本链接。这种级别的分析可以发觉恶意表单域及潜藏表单域操纵类型的漏洞，同时对允许用户访问的URL执行极其严格的监控。行为建模是唯一能够有效对付全部16种使用漏洞的技能。行为建模是一种很好的概念，但其功效往往受到自身严格性的限定。某些情况譬如大量运用 JavaScript或者使用故意偏离行为模型都会导致行为建模犯错，从而引发误报，拒绝合理用户访问使用。行为建模要发挥作用，就须要一定程度的人为干预，以提高安全模型的准确性。行为自动预测又叫准则自动生成或使用学习，严格说来不是流量检测技能，而是一种元检测（meta-inspection）技能，它能够分析流量、建立行为模型，并且借助于各种关联技能生成使用于行为模型的一套准则，以提高精确度。行为建模的优点在于短时间学习使用之后能够自动配置。保卫端口80是安全人员面临的最重大也是最主要的挑战之一。所幸的是，如今已出现了处理这一疑问的创新方案，而且在不断完备。如果在分层安全基础设施里面集成了能够封阻16类使用漏洞的使用防火墙，你就可以处理使用安全这一难题。