防火墙应用识别原理
防火墙是网络安全的重要组成部分,它能够有效地保护网络免受恶意攻击和未经授权的访问,随着互联网的发展,应用的种类和数量不断增加,如何对这些应用进行精细化管控成为管理员面临的重要问题,本文将详细探讨防火墙的应用识别原理及其相关技术。
一、传统协议识别技术
传统的协议识别技术主要依赖于端口号和协议来识别应用,这种技术通过检查报文中的五元组信息(源IP地址、目的IP地址、源端口、目的端口和协议类型)来判断流量类型,随着应用程序的复杂化,仅依靠端口号和协议已经无法满足精细化的控制需求,网页游戏和网页视频都可能使用HTTP协议和8080端口进行数据传输,通过端口号和协议无法将这两种应用程序进行有效区分。
二、业务感知技术
为了解决传统协议识别技术的不足,业务感知技术应运而生,业务感知技术不仅检测报文的五元组信息,还检测报文的应用层数据,通过提取报文的应用层特征来精确识别各类应用,这些特征可能是特定的命令字或者特定的比特序列,相当于应用软件的“指纹”。
1. 特征识别技术
特征识别技术是业务感知应用识别的基本技术,不同的应用通常会采用不同的协议,这些协议具有各自的特征,如特定的端口、字符串或比特序列,特征识别技术通过检测报文的应用层信息以获取更多用于识别应用的特征,某些应用协议的特征不仅在单个报文中体现,还需要对多个报文进行采集和特征分析才能识别出应用。
2. 关联识别技术
关联识别技术主要用于识别基于多通道协议的应用,多通道协议的控制通道和数据通道是分开的,控制通道协商用来建立数据通道的通信参数,而数据通道传输具体的业务数据,特征识别技术可以识别出控制通道的应用,但对于数据通道无能为力,关联识别技术通过提取控制通道的信息并记录在应用识别关联表中,后续根据关联表识别出数据通道报文并标记为相应的应用。
3. 行为识别技术
行为识别技术比前两种技术更复杂,主要用于识别复杂的应用和加密应用,行为识别技术通过提取报文的行为特征来识别出报文承载的应用,不同的应用可利用的行为特征不尽相同,常见的行为特征包括上下行流量比例、报文发送频率、报文长度变化规律等。
三、应用识别特征库
应用识别的关键是特征识别,华为安全中心从海量的互联网应用中分析并提取了6000多种常见应用的特征,存储在业务感知特征库中,这个特征库根据应用的属性将互联网应用分为5个大类,每个大类包含多个子类,网络管理员可以根据这些分类对某一类应用进行统一管控,也可以对某一个或某几个应用进行小范围的管控。
四、应用组与依赖应用
为了管理方便,防火墙引入了应用组的概念,应用组是应用的集合,可以为具有相同访问策略的应用创建一个应用组,并在安全策略中引用,防火墙在识别应用时,需要考虑应用的依赖应用和关联应用,依赖应用是应用的底层应用,相应地,该应用为其依赖应用的上层应用,关联应用是与该应用具有关联关系的其他应用,通常为同一个公司开发的多款相近应用。
五、策略未决状态
在安全策略中引用了应用以后,流量需要发送给内容安全引擎进行应用识别,防火墙需要获取多个报文才能识别出应用,因此在应用识别完成之前,防火墙不能确定命中的安全策略,即处于策略未决状态,防火墙会先根据首包匹配安全策略中应用以外的条件(主要是五元组),暂时放行流量并建立一条会话,其中应用信息保留为空,在应用识别完成后,重新匹配安全策略,并刷新会话信息。
六、FAQs
Q1: 什么是业务感知技术?
A1: 业务感知技术是一种应用特征提取和匹配技术,通过提取报文中的某些特定字段或报文的行为特征,并与业务感知特征库进行匹配来识别应用。
Q2: 为什么需要定期升级应用识别特征库?
A2: 互联网上新的应用层出不穷,已有应用的特征也会发生变化,必须定期升级应用识别特征库,才能够保证更好的识别效果。
防火墙的应用识别原理涉及多种技术和方法,包括传统协议识别技术、业务感知技术(特征识别、关联识别、行为识别)、应用识别特征库以及应用组与依赖应用的管理,通过综合运用这些技术和方法,防火墙能够有效地识别和管控各种应用,提高网络的安全性和可靠性。
以上内容就是解答有关“防火墙应用识别原理”的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/21272.html<
