浅析防火墙深度检测技术在企业安全防护中的应用

核心提示： 所以，深度检测技术不仅要求防火墙能够对应用层的数据进行加密、解密;而且还要求其对应用层数据的字符串匹配问题提出有效的解决方案，浅析防火墙深度检测技术在企业安全防护中的应用(3)，只有如此，才能够切实的实现深度检测的目的，特别是应用层加密解密数据的需求，否则的话，三、能否判断协议的一致性?众

所以，深度检测技术不仅要求防火墙能够对应用层的数据进行加密、解密;而且还要求其对应用层数据的字符串匹配问题提出有效的解决方案。只有如此，才能够切实的实现深度检测的目的。

三、能否判断协议的一致性?

众所周知，数据要在网络上传输，都必须遵守一定的规范。就好像汽车在马路上行驶必须遵守交通法规，否则会乱套。在网络上，数据的交通法规就是各种应用层协议。如HTTP、SMTP、FTP协议等等。这些协议都有全球统一的规范。如果员工发送一封邮件，则应用层的数据必须符合SMTP协议的规范。

但是，很多攻击者就利用这些规范来对企业网络进行攻击。如在邮件中，会插入FTP协议的内容。当用户查看邮件内容的时候，在不知情的情况下，系统自动从FTP服务器上下载木马、病毒等非法软件，实现应用层的攻击。

所以，深度检测技术既然能够检测应用层的数据，则我们就希望他好事做到底，能够进一步判断协议的一致性。也就是说，其应用层中的数据所采用的协议跟其所声明的协议类型是否一致。如果不一致的话，则防火墙就需要过滤这个数据包，并向管理员提出警告。如果一致的话，就顺利转发。笔者认为，深度检测防火墙必须确认应用层数据流是否与这些协议定义一样，以防止隐藏在其中的攻击。这主要是通过对协议报文的不同字段进行解密而实现。当协议中的字段被识别出来后，防火墙采用这个协议定义的应用规则，来检查其合法性。

现在的防火墙基本上能够辨别某种数据类型所采用的协议;他们可以通过各种协议来采取控制措施。如只允许外部网络的特定主机访问企业内部的FTP服务器。这主要就是过滤FTP协议的数据流量来实现。但是，这并不表明其可以判断应用层的数据流是否与这些协议相一致。这里还有一个判断比较的过程。

一般来说，企业若在内部部署了FTP服务器、邮箱服务器等关键应用的时候，最好能够让深度检测的防火墙正确判断协议的一致性。因为这些应用，最容易遭受类似的攻击。

总之，深度检测的目的是希望能够对第四层到第七层的数据流进行检测与控制，来提高防火墙的应用价值。由于深度检测涉及到了比较上层的数据，所以，其技术是随着应用层技术的发展而不断发展的。这也就意味着防火墙的深度检测技术是否成熟没有统一的标准。

笔者的建议是，企业若在内部部署了一些关键应用，而这些应用又对互联网是开放的话，则防火墙的深度检测时必需的。企业的安全管理人员，应该要确保自己所部署的防火墙能够满足这些关键应用的需求，特别是应用层加密解密数据的需求。否则的话，就可能大大降低防火墙的效用。