[Page 1] [Page 2] [Page 3]
Наращиваемый механизм Stateful Inspection Check Point FireWall-1.
Архитектура Stateful Inspection Check Point FireWall-1 использует уникальный, запатентованный механизм INSPECT, который исполняет политику безопасности на шлюзе, где он работает. INSPECT просматривает пакеты и извлекает нужную информацию всех семи уровней сетевой модели. Такой подход позволяет достичь высокой производительности и эффективности работы, реализовать поддержку огромного числа протоколов и приложений, дает возможность легкого расширения для поддержки новых приложений и служб.
Виртуальная машина INSPECT программируется с помощью внутреннего достаточно гибкого языка. Это обеспечивает такое важное качество как расширяемость, позволяя Check Point, также, как его партнерам и конечным пользователям, встраивать в систему новые приложения, службы и протоколы без установки нового программного обеспечения. Поддержка сетевой модели новых приложений, включая большинство собственных приложений пользователей, может быть встроена в INSPECT простой модификацией одного из встроенных шаблонов FireWall-1 через графический интерфейс пользователя. Даже наиболее сложные приложения могут быть добавлены быстро и легко с использованием языка INSPECT. Check Point предоставляет открытый интерфейс (API) для сторонних разработчиков и регулярно публикует описания новых приложений на языке INSPECT на сайте http://www.checkpoint.com.
Механизм INSPECT
Работающая на шлюзе, виртуальная машина INSPECT контролирует весь трафик, проходящий из одной сети в другую. Виртуальная машина INSPECT динамически загружается в ядро операционной системы между уровнем звена данных и сетевым уровнем (уровни 2 и 3). FireWall-1 располагается на самом низком программном уровне, так как уровень звена данных есть ни что иное, как сетевой адаптер, а сетевой уровень – стек протокола (например, IP). Работая на таком низком уровне, виртуальная машина FireWall-1 имеет возможность перехвата и проверки всех входящих и выходящих пакетов на всех сетевых интерфейсах. Ни один пакет не будет обработан никаким из вышележащих уровней стека протоколов, пока машина INSPECT не проверит, что этот пакет удовлетворяет политике безопасности, вне зависимости от используемого протокола или приложения. Так как машина INSPECT имеет доступ к пакетам, приходящим непосредственно от сетевого адаптера, она может проверять всю информацию из сообщения, включая информацию, относящуюся к протоколам более высоких уровней, и сами данные внутри сообщения (состояние сетевого протокола, приложения и контекст). Машина INSPECT проверяет адреса IP, номера портов и любую другую информацию, необходимую для принятия решения о беспрепятственной передаче пакета в соответствии с заданной политикой безопасности. Виртуальная машина INSPECT FireWall-1 понимает внутреннюю структуру семейства протоколов IP и приложений, построенных на их базе. Для протоколов, не поддерживающих информацию о сессии, таких как UDP и RPC, INSPECT создает и сохраняет данные о контексте, поддерживая виртуальное соединение поверх соединения UDP. Механизм INSPECT способен динамически разрешать и запрещать открытие соединений по необходимости. Эти возможности предоставляются для повышения уровня безопасности сложных протоколов, но в случае необходимости их можно отключить. Способность машины INSPECT заглядывать внутрь пакетов позволяет разрешать определенные команды внутри приложения, запретив другие. Например, INSPECT может разрешить ICMP ping, запретив при этом ICMP redirect, или разрешить чтение по SNMP и запретить запись и тому подобное. Машина INSPECT умеет сохранять и получать данные из таблиц (так реализуется динамическая смена контекста) и выполнять над данными логические или арифметические операции в любой части пакета. Кроме тех операций, что заданы в политике безопасности, пользователь имеет возможность написания своих собственных выражений. В отличие от других систем сетевой безопасности, система Stateful Inspection FireWall-1 перехватывает, анализирует и учитывает все пакеты до того, как они достигнут операционной системы шлюза, обеспечивая полную безопасность и целостность сети. Обработанная информация о контекстах сетевого и прикладного уровней, конфигурации сети и правилах политики безопасности используется для выработки соответствующего действия – принятия, запрета, аутентификации или шифрования пакета. Любой трафик, для которого нет явного разрешающего правила, запрещен по умолчанию. Он вызывает сообщения о нарушении защиты, и информация о нем записывается в журнал.
Поддержка широкого спектра приложений
В реализация механизма Stateful Inspection компании Check Point FireWall-1 поддерживаются сотни предопределенных приложений, сервисов и протоколов – больше, чем у любого другого производителя систем firewall. Среди них все основные сервисы Интернет, включая Web-браузеры с поддержкой безопасных протоколов, традиционный набор сервисов Интернет (электронная почта, FTP, Telnet), полное семейство протоколов TCP и протоколов без поддержки соединения, таких как приложения на основе RPC и UDP. Кроме того, только механизм Stateful Inspection FireWall-1 поддерживает критические бизнес приложения, такие как доступ к базам данных Oracle SQL*Net и постоянно появляющиеся приложения мультимедиа, такие как RealAudio, VDOLive и Internet Phone. Некоторые сложные протоколы, поддержка которых реализована в FireWall-1, описаны ниже.
Поддержка протоколов без установки соединения, таких как UDP
Приложения на базе UDP (User Datagram Protocol) (DNS, WAIS, Archie, и т.п.) трудно поддаются проверке простыми средствами пакетных фильтров, так как в UDP нет различия между запросом и ответом. Раньше было два варианта действий – либо исключить UDP-сессии как таковые или открыть большой диапазон портов UDP для двунаправленного обмена, и таким образом подвергнуть свою сеть возможной опасности. Реализованный в FireWall-1 механизм Stateful Inspection позволяет проводить проверку приложений на основе UDP, поддерживая виртуальное соединение поверх соединения UDP. Виртуальная машина INSPECT поддерживает информацию о контексте каждой сессии, проходящей через шлюз. Каждый пакет с запросом UDP, которому разрешено пройти через firewall, записывается, а пакеты UDP, идущие в обратном направлении, проверяются на принадлежность списку установленных в данный момент сессий. Пакет, являющийся обычным ответом на запрос, будет пропущен, а любой другой остановлен на шлюзе. Если на какой-либо запрос ответ не пришел в течение определенного промежутка времени, это соединение будет удалено из списка и, таким образом, закрыто. В итоге все атаки будут блокированы, тогда как приложения UDP будут надежно работать.
Поддержка приложений с динамическим назначением портов, таких как RPC
Простое отслеживание номеров портов не работает для RPC (Remote Procedure Call), так как приложения на основе RPC не используют заранее известных номеров портов. Назначение номера порта происходит динамически и часто меняется со временем. Виртуальная машина INSPECT FireWall-1 отслеживает все запросы к portmapper и поддерживает кеш для преобразования номера программы RPC в закрепленный за ней номер порта и адрес сервера. При проверке виртуальной машиной INSPECT правила с упоминанием службы RPC, она просматривает свой кеш, сравнивая номера портов в пакете и кеше, и выясняет, совпадает ли номер программы, связанный с портом, с номером, указанным в правиле. Если номер порта пакета не найден в кеше (такое может быть, когда приложение работает с заранее известным номером порта и инициирует соединение без выполнения начального запроса к portmapper), машина INSPECT выполняет свой собственный запрос к portmapper и проверяет соответствие номера программы и номера порта.
Отображение служб TCP/IP на семиуровневую модель OSI
Производительность
Простая и эффективная архитектура виртуальной машины INSPECT FireWall-1 позволяет достичь оптимальной производительности благодаря следующим решениям:
- Работая внутри ядра операционной системы, модули FireWall-1 создают пренебрежимо малую нагрузку на процессор. Отсутствуют задержки на переключение контекстов.
- Развитые средства управления памятью, такие как кэширование и хеш-таблицы, используются для унификации хранения различных типов объектов и для быстрого и эффективного доступа к данным.
- Обобщенные и простые механизмы проверки соединены с оптимизатором просмотра пакетов для наиболее оптимального использования современных типов CPU и операционных систем.
Результаты независимого тестирования показывают, что влияние FireWall-1 на производительность сетевых служб слишком мало для измерения при работе на скорости LAN (10 Mbps) на самой медленной станции SPARCstation. FireWall-1 поддерживает высокоскоростные сетевые технологии, такие как 100 Mbps Ethernet и OC-3 ATM, с одинаковой высокой производительностью. С ростом требований к безопасности, Check Point FireWall-1 легко масштабируется для их удовлетворения.
[Page 1] [Page 2] [Page 3]
© ООО "Корпорация "ЮНИ", 1998