狀態檢測技術原理
通信信息
即所有7層協定的當前信息。防火牆的檢測模組位於作業系統的核心,在網路層之下,能在數據包到達網關作業系統之前對它們進行分析。防火牆先在低協定層上檢查數據包是否滿足企業的安全策略,對於滿足的數據包,再從更高協定層上進行分析。它驗證數據的源地址、目的地址和連線埠號、協定類型、套用信息等多層的標誌,因此具有更全面的安全性。
通信狀態
即以前的通信信息。對於簡單的包過濾防火牆,如果要允許FTP通過,就必須作出讓步而打開許多連線埠,這樣就降低了安全性。狀態檢測防火牆在狀態表中保存以前的通信信息,記錄從受保護網路發出的數據包的狀態信息,例如FTP請求的伺服器地址和連線埠、客戶端地址和為滿足此次FTP臨時打開的連線埠,然後,防火牆根據該表內容對返回受保護網路的數據包進行分析判斷,這樣,只有回響受保護網路請求的數據包才被放行。這裡,對於UDP或者RPC等無連線的協定,檢測模組可創建虛會話信息用來進行跟蹤。
套用狀態
即其他相關套用的信息。狀態檢測模組能夠理解並學習各種協定和套用,以支持各種最新的套用,它比代理伺服器支持的協定和套用要多得多;並且,它能從應用程式中收集狀態信息存入狀態表中,以供其他套用或協定做檢測策略。例如,已經通過防火牆認證的用戶可以通過防火牆訪問其他授權的服務。
操作信息
即在數據包中能執行邏輯或數學運算的信息。狀態監測技術,採用強大的面向對象的方法,基於通信信息、通信狀態、套用狀態等多方面因素,利用靈活的表達式形式,結合安全規則、套用識別知識、狀態關聯信息以及通信數據,構造更複雜的、更靈活的、滿足用戶特定安全要求的策略規則。
相關套用
原理圖示說明