在實(shí)際操作過程中是否應(yīng)該通過ISA防火墻來允許SSL的實(shí)際操作技巧，作為防火墻管理員，你首先要考慮的是如何控制外部用戶訪問你的內(nèi)部網(wǎng)絡(luò)與相關(guān)內(nèi)部網(wǎng)絡(luò)中用戶訪問外部網(wǎng)絡(luò)，你花了大量的時間來配置防火墻策略。

讓用戶只能訪問你想讓他們訪問的、連接到你想讓他們連接到的服務(wù)器、下載你允許他們下載的內(nèi)容，并且只是你在想讓他們進(jìn)行訪問的時間內(nèi)進(jìn)行訪問。

作為一個防火墻管理員，你可能主要考慮的是如何控制外部用戶訪問你的內(nèi)部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)中用戶訪問外部網(wǎng)絡(luò)，你花了大量的時間來配置防火墻策略，讓用戶只能訪問你想讓他們訪問的、連接到你想讓他們連接到的服務(wù)器、下載你允許他們下載的內(nèi)容，并且只是你在想讓他們進(jìn)行訪問的時間內(nèi)進(jìn)行訪問。

訪問控制是防火墻的實(shí)質(zhì)，也是最重要的東西。如果你沒有訪問控制，你將不會有任何控制的權(quán)力。你必須具有允許或拒絕VPN連接、允許或拒絕遠(yuǎn)程桌面連接、允許或拒絕訪問Web服務(wù)器、允許或拒絕傳輸文件的能力等等。你同樣需要控制用戶/用戶組的權(quán)力，這樣可以只是讓你允許的用戶進(jìn)行訪問。

你的防火墻具有增強(qiáng)你的訪問控制的能力，因?yàn)樗哂腥客ㄟ^它建立連接的信息。ISA防火墻可以識別網(wǎng)絡(luò)層、傳輸層和應(yīng)用層的信息，然后基于你創(chuàng)建的防火墻策略來允許或者拒絕他們;但是常規(guī)的硬件防火墻只是可以識別網(wǎng)絡(luò)層和傳輸層的信息，不能對應(yīng)用層的信息進(jìn)行識別。

SSL隧道的威脅

但是，當(dāng)你的防火墻遇到加密的通信時，它們會怎么樣呢？我們以遠(yuǎn)程客戶訪問內(nèi)部網(wǎng)絡(luò)中的OWA站點(diǎn)為例：一個常規(guī)的硬件防火墻(如PIX或者Netscreen)，接受到一個進(jìn)入TCP端口443的連接，此硬件防火墻上的一個ACL允許進(jìn)入的連接，然后將其轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)中的OWA站點(diǎn)。

發(fā)起遠(yuǎn)程訪問的OWA客戶端和OWA站點(diǎn)之間協(xié)商建立一個加密的SSL連接。此時，通過硬件防火墻的所有數(shù)據(jù)現(xiàn)在都是加密的，硬件防火墻不能監(jiān)視到SSL隧道中的內(nèi)容。

當(dāng)OWA上的黑客或者蠕蟲病毒通過加密的SSL隧道對OWA服務(wù)器執(zhí)行注入攻擊時，常規(guī)的狀態(tài)過濾硬件防火墻將不會阻止，只是認(rèn)為“這是一個訪問內(nèi)部OWA服務(wù)器的SSL連接，我已經(jīng)允許了它，祝它好運(yùn)”。呵呵，接下來，你可能需要花一個星期的時間來修復(fù)你的Exchange服務(wù)。

這明顯的不是好的安全情況，但是事實(shí)上確實(shí)如此。在這種情況下，你失去了對訪問的控制，因?yàn)槟愕脑L問策略對加密隧道的內(nèi)容無效，你的硬件防火墻無法控制進(jìn)入的加密連接的內(nèi)容。

任何人都可以使用HTTP(S)隧道

可能OWA的例子讓你很擔(dān)心，但是實(shí)際情況比你想像的還要嚴(yán)重。許多程序設(shè)計(jì)人員都使用HTTP隧道來封裝他們的程序，使他們的程序可以突破“限制性防火墻”的限制。所謂“限制性的防火墻”，就是只允許HTTP或者HTTPS出入。為了突破這個限制，他們將他們的程序使用的協(xié)議配置為使用HTTP頭。只要他們使用了HTTP頭，允許了HTTP/HTTPS的防火墻就會允許他們出入。

這些程序有很多，例如包含RPC over HTTP(S)的非Web應(yīng)用程序HTTP隧道、GoToMyPC程序和大量明顯設(shè)計(jì)為暗中破壞防火墻策略的HTTP隧道程序(可以用GOOGLE搜索一下，http://www.google.com/search?hl=en&ie=UTF-8&q=HTTP+tunnel)。稱之為“SSL VPNs”的程序也屬于同類，它們同樣可以使用加密的SSL隧道來越過防火墻的安全策略。所有的這些應(yīng)用程序，無論它們使用設(shè)計(jì)為增強(qiáng)活動性，如RPC over HTTP或者暗中破壞防火墻策略(使用SSL隧道的木馬等)，都具有共同的特性：為了達(dá)到越過防火墻的控制和安全性的目的，將本身的應(yīng)用協(xié)議隱藏在加密的SSL隧道之中。

就算對于沒有加密的HTTP隧道應(yīng)用程序，在阻止它們使用出站的TCP 80通道時，常規(guī)的狀態(tài)過濾硬件防火墻都是無助的。與之對比的是，ISA防火墻的HTTP安全過濾器可以檢查HTTP頭的信息，然后阻止HTTP隧道連接。這是ISA防火墻對于網(wǎng)絡(luò)保護(hù)的一個主要安全性增強(qiáng)。

ISA防火墻解決了隱藏SSL加密注入的問題

在常規(guī)的狀態(tài)過濾硬件防火墻不能識別SSL隧道的內(nèi)容，因此不能阻止隱藏在SSL隧道中的應(yīng)用協(xié)議時，ISA防火墻卻具有這種能力。ISA防火墻作為第三代的狀態(tài)過濾和應(yīng)用層識別防火墻，比簡單的包過濾防火墻具有更高級別的應(yīng)用層安全特性。ISA防火墻可以中斷SSL連接，對SSL連接的內(nèi)容進(jìn)行檢查，然后對SSL的會話重新進(jìn)行加密，然后轉(zhuǎn)發(fā)這個連接到內(nèi)部網(wǎng)絡(luò)中對應(yīng)的SSL站點(diǎn)中。

在遠(yuǎn)程客戶訪問內(nèi)部網(wǎng)絡(luò)的OWA站點(diǎn)的例子中，我們看到常規(guī)的狀態(tài)過濾硬件防火墻對注入攻擊進(jìn)行了允許。對于我個人來說，如果采用的是常規(guī)的狀態(tài)過濾硬件防火墻，我絕不會允許遠(yuǎn)程客戶訪問內(nèi)部網(wǎng)絡(luò)中的任何資源。我個人意見是在防火墻不能對發(fā)布的OWA站點(diǎn)進(jìn)行SSL隧道注入的保護(hù)時，我將不會使用OWA發(fā)布。

與常規(guī)的狀態(tài)過濾硬件防火墻對比的是，當(dāng)ISA防火墻從遠(yuǎn)程OWA客戶接受遠(yuǎn)程訪問連接時，它將解密SSL隧道的通信，然后對數(shù)據(jù)包的內(nèi)容執(zhí)行應(yīng)用層狀態(tài)識別。這由HTTP安全過濾器執(zhí)行，它可以阻止許多HTTP注入攻擊(如病毒、蠕蟲和混合的攻擊)和允許你阻止SSL通信中未經(jīng)過你同意的應(yīng)用層協(xié)議。如果ISA防火墻從數(shù)據(jù)包中發(fā)現(xiàn)了可疑的或者危險的信息，那么連接將被丟棄。如果連接是干凈的和無害的，那么ISA防火墻將數(shù)據(jù)重新加密，然后在它自己和內(nèi)部網(wǎng)絡(luò)中的目的OWA服務(wù)器間建立第二個SSL連接，再將SSL數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)部的OWA服務(wù)器。

注意：OWA在此只是作為舉例，任何安全Web服務(wù)器(HTTPS)都是可以保護(hù)的。

很清楚的，ISA防火墻比傳統(tǒng)的常規(guī)狀態(tài)過濾硬件防火墻提供了更高級別的安全保護(hù)?，F(xiàn)在大部分攻擊都是基于應(yīng)用層的，針對網(wǎng)絡(luò)中的常見的服務(wù)或者服務(wù)器進(jìn)行。ISA防火墻作為第三代防火墻，它獨(dú)一無二的設(shè)計(jì)，使它成為現(xiàn)代的應(yīng)用程序安全識別過濾的旗手，具有通用的對于安全威脅的保護(hù)能力。

我們?nèi)匀皇艿匠稣維SL連接的威脅

盡管ISA防火墻具有那么多的優(yōu)點(diǎn)，也不是說ISA防火墻的管理員生活就是完美的。盡管ISA防火墻對進(jìn)入的SSL連接提供了應(yīng)用層過濾識別保護(hù)，但是我們?nèi)匀粨?dān)心從內(nèi)部網(wǎng)絡(luò)中到Internet站點(diǎn)的SSL隧道連接。在這種情況中，ISA防火墻和常規(guī)狀態(tài)過濾硬件防火墻提供同等級別的保護(hù)。

ISA防火墻執(zhí)行入站的SSL橋接和應(yīng)用層狀態(tài)識別，但是它不執(zhí)行出站的SSL橋接。不過，當(dāng)ISA防火墻開發(fā)團(tuán)隊(duì)發(fā)布出站的SSL橋接的解決方案時，你就可以阻止內(nèi)部用戶在加密的出站SSL連接中隱藏應(yīng)用程序，這樣就是一個完整的SSL隧道安全解決方案了。

后記

最后，我想再提醒大家，提防“SSL VPNs”，其他任何程序都可以在SSL加密連接中隱藏它們的本質(zhì)。強(qiáng)烈建議你在內(nèi)部用戶需要訪問出站的SSL站點(diǎn)時，嚴(yán)格限制能夠訪問SSL站點(diǎn)的用戶/組，并且使用明確的域名來限制用戶可以使用SSL連接到的站點(diǎn)。絕不要允許使用“All Open”來允許用戶使用SSL協(xié)議訪問所有站點(diǎn)，否則，用戶可以通過SSL隧道來使用所有協(xié)議，而不僅僅是HTTPS，這可能是你不想看到的。

【編輯推薦】

1. ISA防火墻簡單安裝配置實(shí)例
2. 實(shí)現(xiàn)ISA防火墻網(wǎng)絡(luò)負(fù)載均衡的故障轉(zhuǎn)移
3. 你應(yīng)該通過ISA防火墻來允許SSL嗎
4. 配置ISA防火墻作為出站SMTP中繼過濾